このトピックでは、セキュリティ関連の詳細について説明します。 次に参照するドキュメント NSX Advanced Load Balancer セキュリティの概要このセクションでは、NSX Advanced Load Balancer サービス エンジンとコントローラのセキュリティについて説明します。 SSL 証明書NSX Advanced Load Balancer は、仮想サービスでのクライアント SSL および TLS 接続の終了をサポートしています。この場合、サイトを認証し、安全な通信を確立するクライアントに証明書を送信する必要があります。 SSL のマルチレベル ドメイン サポートNSX Advanced Load Balancer SSL のサポートには、マルチレベル ドメイン名のサポートが含まれています。マルチレベル ドメインのサポートにより、サーバ証明書の検証用の複数のドメイン名のリストを使用してプールを構成できます。バックエンド サーバとサービス エンジン (SE) 間の SSL セッションのセットアップ中に、NSX Advanced Load Balancer はサーバの証明書でプールにリストされているドメイン名をチェックします。証明書でいずれかのドメイン名が見つかった場合は、SSL セッションが許可されます。しかし、バックエンド サーバによって提示された証明書にプールにリストされているドメイン名が含まれていない場合、SSL セッションは許可されません。 Let's Encrypt 認証局と NSX Advanced Load Balancer システムの統合Let’s Encrypt は、自動化された(証明書の発行と更新の両方を自動化した)オープンな無償の認証局です。このセクションでは、Let's Encrypt と NSX Advanced Load Balancer の統合の構成サマリについて説明します。 NSX Advanced Load Balancer の OCSP Staplingオンライン証明書状態プロトコル (OCSP) Stapling は、OCSP プロトコルの拡張機能です。SSL/TLS 証明書の有効性は、OCSP Stapling を使用して確認できます。このセクションでは、OCSP Stapling について詳しく説明します。 クライアント SSL 証明書の検証この記事では、アプリケーション プロファイルと PKI プロファイルの構成について説明します。 クライアント IP ベースの SSL プロファイルクライアント SSL 接続を終了するには、SSL プロファイルと SSL 証明書の両方を仮想サービスに割り当てる必要があります。NSX Advanced Load Balancer を使用すると、複数の SSL プロファイルを単一の仮想サービスに関連付けることで、クライアント コミュニティ内の広範なセキュリティ ニーズに対応でき、またサービス エンジンはクライアントの IP アドレスに基づいて選択できるようになります。 SSL/TLS プロファイルNSX Advanced Load Balancer は、クライアントと仮想サービス間の SSL 接続を終了し、NSX Advanced Load Balancer とバックエンド サーバ間の暗号化を有効にする機能をサポートします。 NSX Advanced Load Balancer のアプリケーション ログの SSL クライアント暗号NSX Advanced Load Balancer では、NSX Advanced Load Balancer のアプリケーション ログで SSL クライアントの暗号の詳細をキャプチャできます。クライアントから送信された暗号を client hello SSL パケットに記録します。仮想サービスとの SSL 接続を確立するために使用される暗号の詳細は、アプリケーション ログで確認できます。 サーバ名インディケーションサーバ名インディケーション (SNI) は、SSL 対応の仮想 IP アドレスで複数のドメイン名を仮想的にホストする手法です。1 つの VIP が複数の仮想サービスにアドバタイズされます。クライアントが VIP に接続すると、NSX Advanced Load Balancer は SSL/TLS ネゴシエーションを開始し、クライアントが TLS hello パケットのドメイン フィールドを通じて名前でサイトを要求した場合にのみ仮想サービスまたは SSL 証明書を選択します。要求されたドメイン名が仮想 IP アドレスで構成されている場合、適切な証明書がクライアントに返され、接続は適切な仮想サービスにバインドされます。 L7 セキュリティ機能の True Client IPこのセクションでは、True Client IP とその構成を使用するメリットについて説明します。 App Transport SecurityiOS 9 以降の Apple では、App Transport Security (ATS) 標準に準拠するための最小限のセキュリティ設定を義務付けています。このレベルの SSL セキュリティをアプリケーション プロキシで NSX Advanced Load Balancer によって有効化するには、次の設定を SSL/TLS 証明書と SSL/TLS プロファイルに使用します。 Venafi の統合NSX Advanced Load Balancer をセットアップして Venafi Trust Protection Platform™ と統合し、SSL および TLS 証明書のライフサイクル管理を自動化できます。 すべての証明書は、TPP を通じて保護および制御されます。 このプロセスは、NSX Advanced Load Balancer Controller に対して透過的です。 基本認証基本認証は、HTTP ベースのサービスや API で最も広く使用されているシンプルな認証メカニズムです。 OAuth と OIDC従来の認証方法では、クライアントはユーザー名とパスワードを使用して認証することにより、サーバ上の保護されたリソースを要求します。サードパーティのアプリケーションに制限付きリソースへのアクセスを提供するために、リソース所有者は認証情報をサードパーティと共有します。 NTLM 認証中のロード バランシングの要件SharePoint や Outlook Anywhere などの多くの Microsoft アプリケーションのセッション認証は、NTLM に依存しています。NTLM には、影響を受けるアプリケーションまたは仮想サービスに対して推奨される変更とともに、このトピックで扱うロード バランシングに関するいくつかの固有の要件があります。 NSX Advanced Load Balancer での IPv6 のサポート従来のネットワークで IPv6 の使用が増えるにつれて、Web アプリケーションは IPv4 および IPv6 要求をサポートするように適応しつつあります。ネットワーク インフラストラクチャは、IPv4 または IPv6 ベースのデバイスから送信されたクライアント要求を処理すると期待されています。サーバのロード バランシングによるサーバ クラスタリングは、スケーラブルな Web サーバを構築するための有望な技術として登場しました。 NSX Advanced Load Balancer のアプリケーション ログ内の個人を識別可能な情報 (PII) のマスキングと削除NSX Advanced Load Balancer は、パフォーマンスまたは停止に関するさまざまな問題、エンドユーザー エクスペリエンス、およびアプリケーションの成功をトラブルシューティングするために、さまざまなタイプのログを収集します。NSX Advanced Load Balancer Controller は、受信クライアント要求とバックエンド サーバ間の接続を確立するときに、HTTP 要求ヘッダーと応答ヘッダー情報を収集します。
