Citrix Application Delivery Management

SSL Insight

SSL Insightは、セキュアなWebトランザクション(HTTPS)を可視化し、IT管理者は、セキュアなWebトランザクションのリアルタイムおよび履歴の統合監視を提供することで、Citrix ADC によって提供されるすべてのセキュアなWebアプリケーションを監視できます。状態を把握することで管理者は以下の評価を行うことができます。

  • 構成変更による顧客使用への影響の判断: 管理者は、SSLv3 の電源を切ったり、RC4-MD5 のような暗号を削除するなど、構成変更を行った場合にクライアントへの影響を把握できます。そのためには、このプロトコルと暗号に関する履歴トランザクションデータを評価します。

  • クライアントのパフォーマンスを定量化: 管理者は、使用された SSL 暗号化/プロトコルまたはネゴシエートされた証明書に基づいて、アプリケーションの応答時間への影響を把握できます。

  • アプリケーションのセキュリティ: 低いセキュリティプロトコル、暗号、または弱いキー強度で実行されているトランザクションがあるアプリケーションがあるかどうかを評価します。

Citrix ADC インスタンスでSSLAnalyticsを有効にすると、SSL統計情報が記録され、SSLトランザクションごとに記録されます。この統計によりSSLフローの詳細が分かります。また、成功したすべての接続が記録され、Citrix Application Delivery Management(ADM) Analyticsによって表示されます。

SSL Insightは、Citrix ADM Analyticsによって表示される次の重要な情報を提供します。

  • ネゴシエートされた SSL プロトコルバージョン

  • ネゴシエートされた暗号と暗号強度

  • 使用された証明書の署名ハッシュアルゴリズム

  • 証明書の種類とサイズ

  • SSLフロントエンドとバックエンドのエラー

SSL 接続が成功すると、SSL AppFlow ロギングはすべてのトランザクションの最後に発生します。

前提条件

  • SSL Insightを構成するCitrix ADC インスタンスでは、Citrix ADC ソフトウェアリリース11.1 51.21以降が実行されている必要があります。11.1 51.21 を実行している ADC インスタンスで次のコマンドを実行して、SSL Insight のトランスポートタイプとして Logstream を有効にします。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    バージョン 12.0以降を実行している ADC インスタンスの場合は、ADM から AppFlow を有効にしながら、トランスポートタイプとして Logstream を選択します。

  • Citrix ADM のバージョンとビルドは、Citrix ADC のバージョンとビルドと同等かそれ以上である必要があります。たとえば、Citrix ADM 11.1ビルド 61.7をインストールしている場合は、Citrix ADC 11.1ビルド 60.14以前がインストールされていることを確認します。

SSL Insight 構成

次の要素を有効にした場合、SSL InsightメトリックはWeb Insightレポートに組み込まれます。

  • 各Citrix ADCインスタンスでWeb Insight用のAppFlowを有効にします。

  • 各Citrix ADC インスタンスでULFDモードを有効にします。

  • 各Citrix ADC インスタンスで必要なAppFlow パラメータを有効にします。

AppFlow 機能を有効にする

AppFlow 機能は、Citrix ADMまたは各Citrix ADCインスタンスから有効にすることができます。

Citrix ADM からAppFlow 機能を有効にするには:

Citrix ADMが13.0ビルド41.x以降の場合

  1. [ ネットワーク ] > [ インスタンス ] > [ Citrix ADC] に移動し、インスタンスタイプを選択します。たとえば、VPX です。

  2. インスタンスを選択し、[ アクションの選択] リストから [ Analytics の設定] をクリックします。

  3. [ 仮想サーバーでの Analytics の設定 ] ページで、仮想サーバーを選択し、[ Analytics を有効にする] をクリックします。

  4. [ Analyticsの有効化 ] ウィンドウで、次の操作を行います。

    1. Web Insightの選択

    2. 転送モードとして Logstream を選択します

      Citrix ADC 12.0以前の場合、 IPFIX はトランスポートモードのデフォルトのオプションです。Citrix ADC 12.0以降では、トランスポートモードとして[ ログストリーム ]または[ IPFIX ]を選択できます。

      IPFIX と Logstream の詳細については、「 ログストリームの概要」を参照してください。

    3. 式はデフォルトでtrueです

    4. [OK]をクリックします。

      分析の有効化

      • ライセンスされていない仮想サーバーを選択した場合、まずCitrix ADM はこれらの仮想サーバーのライセンスを取得してから、分析を有効にします

      • 管理パーティションの場合、 Web Insight のみがサポートされます

      • キャッシュリダイレクト、 認証、 GSLBなどの仮想サーバーでは、分析を有効にできません。エラーメッセージが表示されます。

OK]をクリックすると、Citrix ADM は選択した仮想サーバー上で分析を有効にするために処理します。

処理分析

Citrix ADMが13.0ビルド36.27以前の場合

  1. [ ネットワーク ] > [ インスタンス ] > [ Citrix ADC] に移動し、分析を有効にするCitrix ADCインスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

    分析の設定

  3. [ ** Insightの設定** ] ページで、次の操作を行います。

    1. ロードバランシングまたはコンテンツスイッチングの アプリケーションリスト を選択します。

      アプリケーション一覧

    2. 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

      仮想サーバ

  4. [AppFlow を有効にする] ダイアログボックスで、次の操作を行います。

    • テキストボックスに true と入力します。

    • 転送モードとして [ ログストリーム ] を選択します。

      注:転送モードとしてログストリームを選択することをお勧めします。

    • [ Web Insight ] を選択し、[ OK ] をクリックします。

      トランスポートモード

Citrix ADC GUIを使用してAppFlow 機能を有効にするには:

Citrix ADC インスタンスのGUIで、[ 構成 ]>[ システム ]>[ 設定]の順に選択し、[ 高度な機能の構成]をクリックし、[ AppFlow]を選択します。

SSL Insight パラメータの有効化

Citrix ADC インスタンスごとに、一部のHTTPパラメーターを有効にして、Citrix ADM でSSL Insightレコードを表示する必要があります。

Citrix ADC 構成ユーティリティからSSL Insightパラメーターを有効にするには:

  1. 構成 」>「 システム 」>「 AppFlow」に移動し、「 AppFlow設定の変更」をクリックします。

  2. [ HTTP ドメイン]、[HTTPホスト]、[HTTPメソッド]、[HTTPURL]、[HTTPユーザーエージェント]、[ HTTP コンテンツタイプ]のチェックボックスをオンにします。  

  3. [OK] をクリックします。

    ssl-insight2

SSL Insight メトリックスの表示

Citrix ADM SSL Insightメトリックは、Citrix ADCインスタンスが処理するSSLトランザクションのパフォーマンスを詳細に表示します。クライアント、サーバー、またはアプリケーションレベルのSSL Insightメトリック、および成功したSSLトランザクションおよび失敗したSSLトランザクションのメトリックを表示できます。これらのメトリックを使用すると、 Citrix ADC HTTPS設定とSSL証明書設定を分析および最適化し 、パフォーマンスの問題を追跡できます。

注:

グループを作成するときに、グループに役割を割り当てたり、グループへのアプリケーションレベルのアクセスを提供したり、ユーザーをグループに割り当てたりすることができます。Citrix ADM 分析では、仮想IPアドレスベースの認証がサポートされるようになりました。ユーザーは、権限のあるアプリケーション(仮想サーバー)のみのすべての Insightのレポートを表示できるようになりました。グループおよびグループへのユーザの割り当ての詳細については、「 グループを設定する」を参照してください。

Citrix ADM でSSL Insightメトリックスを監視するには:

以下の SSL メトリクスを表示できます。

  • アプリケーション。[ アプリケーション] > [ダッシュボード] に移動し、アプリケーションをクリックし、[ Web Insight ] タブを選択して詳細なメトリックスを表示します。詳細については、「 アプリケーション使用状況分析」を参照してください。

  • すべてのアプリケーション。[ アプリケーション] > [Web Insight ] に移動し、[ アプリケーション ] タブと [ クライアント ] タブをクリックして SSL メトリックを表示します。

ユースケース:SSL トランザクションの概要を取得する

次のユースケースは、SSL Insight を使用してさまざまな SSL パラメータの使用状況を評価し、セキュリティ対策を改善する方法について説明しています。

通信にSSLトランザクション(HTTPS)を使用している一連のアプリケーションがあり、SSLコンポーネントを監視するようにCitrix ADM を構成しているとします。最も注意が必要なアプリケーションに特に注意を払えるように、アプリケーションを頻繁に確認する必要があります。1 つのアプリケーションまたはすべてのアプリケーションの Web Insight ダッシュボードには、[SSL エラー] と [SSL **使用状況 ] の下に次の SSL**パラメーターの概要が表示されます。

  • SSL証明書

  • SSLプロトコル

  • SSL 暗号

  • SSLキーの強度

  • SSL 障害 — フロントエンド

  • SSL 障害 — バックエンド

    ssl-nsight5

各タブをクリックすると、詳細を表示できます。

ユースケース:クライアントの SSL メトリクス

クライアントのリスト (IP アドレスで識別) と、クライアントごとの合計発生数を確認できます。[ アプリケーション] > [Web Insight ] に移動し、[ クライアント ] タブを選択して [ SSL 使用状況] の下に詳細を表示します。

メトリックをクリックして詳細を表示し、[ クライアント] で任意のクライアント IP アドレスをクリックすると、選択したクライアントの SSL メトリックが表示されます。

SSL クライアントメトリック