可視性およびセキュリティの詳細情報

NSX Advanced Load Balancer は、仮想サービスに役立つ多くのデータ ポイントとメトリックを提供します。一部の機能は、SSL 終端プロセスをより深く掘り下げるための有益な機能です。

仮想サービスの [セキュリティ] タブに移動して、SSL および DDoS の情報を表示します。SSL 構成の誤りや、SSL 証明書の期限切れなどの問題がこのページで強調表示されます。また、仮想サービスの健全性スコアにも表示され、セキュリティ ペナルティが発生します。セキュリティ ペナルティはゼロであることが理想的です。これは、仮想サービスの健全性が損なわれたり、リスクを生じたりしないということです。セキュリティ ペナルティがゼロでない場合は、調査して修正する必要があります。SSL に固有のセキュリティ情報は、[SSL] および [SSL スコア] セクションに表示されます。

SSL ディストリビューションの情報

仮想サービスの [セキュリティ] タブの [SSL] セクションには、選択した期間に NSX Advanced Load Balancer で終了したクライアント接続に最も関連する SSL データが表示されます。仮想サービスで SSL 終端が実行されていない場合、このセクションにはデータが表示されません。

証明書

SSL セッションのセットアップのネゴシエーション フェーズでクライアントが使用する証明書タイプを分類します。仮想サービスは、RSA 証明書と EC 証明書の両方を受け入れるように構成できます。NSX Advanced Load Balancer は、クライアントがサポートするタイプをネゴシエートします。両方をサポートするクライアントでは、EC を優先します。クライアントによってネゴシエートされる暗号に応じて、Perfect Forward Secrecy の有無にかかわらず、RSA と EC をネゴシエートできます。

TLS バージョン

クライアントによってネゴシエートされた TLS バージョンが表示されます。NSX Advanced Load Balancer は TLS をサポートしていますが、古くて安全性の低い SSLv2 または SSLv3 はサポートされません。

トランザクション

期間内にネゴシエートされた新しい接続の 1 秒あたりの平均トランザクション数 (TPS)。このメトリックには、新しいトランザクションと再利用されたトランザクションの両方が含まれます。このメトリックは、サイドバー タイルの [SSL] セクションの [トランザクション] メトリック タイルによってさらに分類され、この数値がさらに分割されます。

失敗したトランザクション

失敗したトランザクションの数。通常、クライアントがネゴシエーションの途中で終了するか、クライアントと NSX Advanced Load Balancer が相互にサポートされている暗号または TLS バージョンに同意できないために、トランザクションが失敗することがあります。失敗した個々のトランザクションを表示するには、仮想サービスのログ ページにアクセスします。

SSL スコア

仮想サービスの [セキュリティ] タブの [SSL スコア] セクションには、SSL スコア ペナルティに影響する主な要因が表示されます。仮想サービスの健全性スコアで表示される場合、ここでのペナルティに 5 が乗算されます。たとえば、サイトが信頼されている証明書を使用していない場合、ローカル ペナルティは 4 になります。この場合、仮想サービスの健全性スコアのセキュリティ ペナルティは 20 になります。

PFS のサポート

仮想サービスの SSL プロファイルで PFS 対応の暗号が有効になっていない場合に、仮想サービスのセキュリティ スコアを減らすと、仮想サービスのセキュリティ スコアに悪影響を及ぼします。

SSL プロトコル強度

安全でない SSL/TLS バージョンが有効になっている場合は、スコアを減らします。

最も脆弱な暗号化アルゴリズム

SSL プロファイルで弱い暗号化アルゴリズムが有効になっている場合は、スコアを減らします。弱い暗号化アルゴリズムが健全性スコアに与える影響の詳細については、SSL プロファイルのセキュリティ スコアを参照してください。

対称暗号化暗号強度

暗号化スイートが、NSX Advanced Load Balancer によって安全でないと見なされる暗号化アルゴリズムを使用する場合は、スコアを減らします。

証明書有効期限

証明書の有効期限が近いか、すでに期限切れになっている場合は、スコアを減らします。

署名アルゴリズム

md5 や SHA1 などの弱いハッシュ アルゴリズムが仮想サービスの SSL プロファイルで有効になっている場合、スコアを減らします。

クライアントの再ネゴシエーションの無効化

ベスト プラクティスとして、NSX Advanced Load Balancer はクライアント SSL 再ネゴシエーションをオフにします。このフィールドは構成できないため、セキュリティ スコアには影響しません。

信頼済み CA 証明書

仮想サービスが自己署名証明書を使用している場合は、スコアを減らします。

DDoS 詳細情報

デフォルトのセキュリティ ページの右側にある DDoS セクションは、仮想サービスに対する分散サービス拒否データを最も関連性の高いレイヤー 4 およびレイヤー 7 攻撃データに分類します。

L4 攻撃

IP フラグメンテーション攻撃や TCP SYN フラッドなど、1 秒あたりのネットワーク攻撃の数。ここに示す例では、未確認の SYN はそれぞれ攻撃としてカウントされます。（これは、TCP SYN フラッド攻撃の従来のシグネチャで、大量の SYN 要求を送信しますが、セッションのセットアップを完了するために想定される ACK をその後に続けません。）

L7 攻撃

HTTP SlowLoris 攻撃や要求フラッドなど、1 秒あたりのアプリケーション攻撃の数。ここに示す例では、構成された要求スロットル制限を超えるすべての要求が攻撃としてカウントされます。（カスタムのレイヤー 7 攻撃の制限の構成については、アプリケーション プロファイルの [DDoS] タブを参照してください）。

攻撃期間

攻撃が発生した時間の長さ。

ブロックされた接続

攻撃がブロックされた場合、これはブロックされた接続の試行回数です。

攻撃数

時間の経過とともにグラフにプロットされた攻撃を示します。

アプリケーション ログ

仮想サービスの [ログ] タブに移動して、個々の接続と要求の詳細を表示します。NSX Advanced Load Balancer は、暗号などのユーザー インターフェイスに表示されないものを含めて、多数のメトリックをキャプチャします。必要に応じて、追加のメトリックを確認するために、ログをエクスポートするかフィルタします。

• バージョン

• 証明書タイプ

• 暗号

• PFS

• SSL セッション ID/TLS チケット

[ログ分析] タイルで、[SSL] タイルをクリックして、選択したログの SSL データのサマリを表示します。

SSL 暗号

[テンプレート] > [セキュリティ] > [SSL プロファイル] の順に移動して、暗号のパフォーマンス、互換性、およびセキュリティとその順序を示す基本評価システムを表示します。評価は、暗号設定の結果を迅速かつ簡単に評価する方法です。

SSL 証明書

[テンプレート] > [セキュリティ] > [SSL/TLS 証明書] の順に移動して、使用可能なすべての証明書を表示します。このビューでは、証明書のタイプが分類され、状態を示す単純な色分けが表示されます。たとえば、証明書の有効期限が近くなると、証明書は黄色になり、有効期限が切れると赤になります。証明書チェーンの問題も表示できます。

トラブルシューティング

このトピックに記載されているツールは、SSL 関連の一般的な問題のトラブルシューティングに役立ちます。一般的な問題には、次のものがあります。

• 証明書失効日

証明書の有効期限が切れると、仮想サービスにセキュリティ ペナルティが発生します。これは、仮想サービスの [セキュリティ] ページと [SSL/TLS 証明書] ページに表示されます。証明書の有効期限通知をプロアクティブに有効にする方法の詳細については、『VMware NSX Advanced Load Balancer 構成ガイド』の「SSL 証明書の有効期限の通知」のトピックを参照してください。

• SSL バージョンに関連する脅威

Heartbleed 攻撃や Drown 攻撃など、SSL および TLS に対する新しい脆弱性が定期的に発表されます。これらの脆弱性の多くは、NSX Advanced Load Balancer で有効になっていない古いバージョンの SSL を対象とします。TLS 1.0 など、バージョンを追加して無効にするには、SSL プロファイルに移動して変更します。変更が既存のユーザーに与える影響を理解することが同様に重要です。[セキュリティの詳細情報] または[ログ] ページを確認して、TLS 1.0 を介してネゴシエートしている多数のユーザー、使用されているブラウザのバージョン、およびそれらのブラウザが新しいバージョンの SSL/TLS をサポートしているかどうかを確認できます。

• 互換性のない暗号

多くの問題が原因でこのエラーが発生する可能性があります。仮想サービス ログは、SSL に互換性がない可能性がある場合にキャプチャされます。このエラーの一般的な原因は、EC の暗号のみを有効にする SSL プロファイルを RSA 証明書で構成された仮想サービスに適用することです。