This page applies to on-premise deployments.

AppDynamics には、デプロイの安全性と完全性を確保するためのセキュリティ機能が付属しています。 

コントローラのセキュリティについて

コントローラは、HTTPSポートがデフォルトで有効になっている状態でインストールされます。SSL により、クライアント接続が保護され、クライアントがコントローラを認証できるようになっています。コントローラUIでは、SAML認証とLDAP認証だけでなく、HTTP基本認証もサポートされています。UI でのロールベースのアクセスコントロールにより、ユーザー権限を管理できます。 

コントローラのセキュリティ機能は最初から有効になっていますが、デプロイのセキュリティを確保するために必要ないくつかの手順があります。その手順を以下に示していますが、これに限定されるものではありません。

  • SSL ポートでは自己署名証明書が使用されます。コントローラで SSL 接続を終了する場合は、デフォルトの証明書を独自の CA 署名付き証明書に置き換える必要があります。コントローラでデフォルトの SSL 証明書を置き換える場合は、アプリケーション エージェント マシン上のコントローラ公開鍵の信頼性を確立する必要もあります。 

    コントローラで SSL を終了する代わりに、SSL を終了するリバースプロキシの背後にコントローラを配置することで、コントローラでの SSL 接続の処理の負担が軽減されます。 

  • コントローラでは、保護されているリスニングポートだけでなく、保護されていないHTTPリスニングポートも提供されています。そのポートを無効にするか、信頼できないネットワークからのそのポートへのアクセスをブロックする必要があります。 
  • SSL を有効にしてプロキシで SSL を終了する場合は、アプリケーション エージェントがコントローラまたはリバースプロキシに接続されていることを確認します。  
  • コントローラとその基礎となるコンポーネントである Glassfish と MySQL には、組み込みのユーザーアカウントが含まれています。そのアカウントのパスワードを必ず定期的に変更し、通常はそのアカウントのパスワード管理に関するベストプラクティスに必ず従います。組み込みユーザーのパスワードの変更については、「ユーザ管理」を参照してください。  

プロキシコントローラ接続

AppDynamics コントローラは、多くの場合プロキシの背後に保護されているネットワークにデプロイします。このプロキシは、エージェントやブラウザクライアントなどの外部接続用の仮想 IP アドレスを表すものです。プロキシ自体は、ネットワークの DMZ 内に配置し、ほとんどの場合、クライアント接続からの SSL 接続を終了します。

クライアントでSSLを使用している場合は、リバースプロキシがコントローラを介してSSL接続の終了やSSLの維持を行うことができます。プロキシでSLLを終了すると、コントローラマシンでの処理の負担が軽減されます。

保護されたプロキシを使用すると、SSL キー管理を 1 カ所に集中させることによってデータセンター全体の管理を簡略化できます。これにより、OpenSSL のような代替 PKI インフラストラクチャを使用できるようになります。

詳細については、「リバースプロキシの使用」を参照してください。 

セキュリティに関するその他のトピック