Top takeaways
本記事は TLS 1.0/1.1 to be disabled for all inbound connections on Oct. 24th, 2022 の抄訳記事となりますが、
2022/10/21 に元の記事にアップデートがあったため更新いたします。
この記事の要約
-
New Relicは2023/2/1 16:00 UTCより全てのエンドポイントのTLS要件を1.2以上を要求するようにアップデートを行います。(※以前は2022/10/24より全てのエンドポイントがアップデートされることをお伝えしましたが、アップデート日程が2023/2/1 16:00 UTCへ変更になりました。)
-
TLS1.0/1.1経由でNew Relicへデータ取り込みができなくなるため、TLS1.2以上へのアップデートをお願いいたします。
セキュリティへの取り組みを継続し、トランスポート レイヤー セキュリティ (TLS)の技術的な進歩と規制基準に対応するためNew Relic は、2023 年 2 月 1 日 16:00 UTCより、すべてのエンドポイントの TLS 要件を 最小でもTLS 1.2 以上のバージョンに更新する予定です。
- すでに TLS 1.2 以降を使用しているお客様は、この変更による影響を受けません。
変更点
2023 年 2 月 1 日 16:00 UTCより、すべてのインバウンド接続で TLS 1.2 以上が必要になります。つまり、TLS バージョン 1.0 および 1.1 を使用しているお客様がNew Relicへ接続するためにはTLS 1.2 以降に更新する必要があることを意味します。この変更は、すべてのリージョンで影響します。
影響範囲
お客様がまだTLS1.0/1.1を使用している場合、この変更以降、New Relic へデータを送信することができなくなります。これにより、New Relic でお使いのアプリケーションを監視し続ける能力に影響します。
New Relic への接続を維持するには、TLS 1.2 以上をサポートするオペレーティング システムおよび/または TLS スタックにアップグレードする必要があります。影響を受けるオペレーティング システムには次のものが含まれますが、これらに限定されません。
- Windows Server 2008 (オプションの Windows Update パッケージを介して利用可能なサポート 4)
- Windows 7 (オプションの Windows Update パッケージを介して利用可能なサポート 4)
- Windows Server 2003 以前
- Windows Vista 以前
- OS X 10.8「Mountain Lion」以前 1
- RHEL 6.4 以前 6
以下に依存する TLS スタックも影響を受ける可能性があります。
リダイレクトに対応していないクライアントでhttp://api.newrelic.com へアクセスする場合、お客様はこの変更の影響を同様に受ける可能性があります。 スキームがhttpではなくhttpsのものであることに加えて、例えばcURLにおける -Lオプションを利用するのと同様に、クライアントがリダイレクトに対応しているかをご確認ください。
加えて、お客様の中で暗号化されていないHTTPページで998(2016年にリリースした)以前のバージョンのブラウザーエージェントをお使いの場合、
これらのページにアクセスするクライアントが New Relic にデータを報告しなくなります。
実施理由について
トランスポート層セキュリティ (TLS) は安全で暗号化された接続を確立するために使用されるプロトコルです。これは SSL (Secure Socket Layer) の後継ですが、「SSL」は 口語的にはTLS の同義語として使用されています。
TLS バージョン 1.2 および 1.3 は現在の業界標準であり、以前のバージョンのプロトコルには実装されていない保護が含まれています。TLS にはダウングレード攻撃の歴史もあり、それはサーバーでサポートされている場合、攻撃者はクライアントに安全性の低いバージョンのプロトコルを強制的に使用させることができます。
TLS 1.2 以降への移行はTransport Layer Security の単なる次のステップではありません。深刻なセキュリティ上の脅威に対する有効なソリューションでもあるのです。プロトコルの安全性が低いバージョンのサポートを削除することで、ダウングレード攻撃が不可能になり、これらの接続を介して送信されるデータが攻撃者によって傍受または変更されないようにすることができます。
TLS の以前のバージョンに関する懸念は、業界内で共有されており、Chrome、Edge、Firefox 1、Internet Explorer、およびSafariブラウザーはすべて、2020 年初頭から TLS 1.2 以降を必要とします。さらに、PCI DSSおよびNISTフレームワークは、1.2 より前の TLS バージョンの使用を準拠していないと見なすようになりました。
影響範囲の確認
New Relicをお使いのユーザーはNrIntegrationError というイベントにアクセスでき、クエリ内でDeprecatedTlsDetectionを使うとお客様のアカウントやクラスターエージェントIDごとに分類できます。
APM Agents
下記はEOLに該当するTLSバージョンを持つAPMアプリケーションを割り出すためクエリです。このクエリを親アカウントにて実行ください。
FROM NrIntegrationError SELECT count(*) WHERE category = ‘Deprecated TLS Version’ FACET appName, appId, tlsVersion
Event API
下記はEOLに該当するTLSバージョンを持つイベントAPIを割り出すためクエリです。このクエリを各アカウントにて実行ください。
FROM NrIntegrationError SELECT * WHERE newRelicFeature = ‘Event API’ AND message LIKE ‘Event sent via deprecated TLS%’ LIMIT MAX
注 このクエリは 個別のAPI Key プレフィックスごとに分類するように編集することができます。下記は一例です。
FROM NrIntegrationError SELECT count(*) WHERE newRelicFeature = ‘Event API’ AND message LIKE ‘Event sent via deprecated TLS%’ LIMIT MAX FACET apiKeyPrefix
TLS 1.2 以降へのアップグレード
TLS 1.2 の互換性を確保するための単一のボタンやプロセスはありません。現在使用されているプラットフォームとソフトウェア ソリューションに応じて、プロセスが非常に単純または非常に複雑になる場合があります。IT およびセキュリティ チームと緊密に連携して移行計画を作成することをお勧めします。
サポートが必要ですか?
このトピックの詳細についてはドキュメントをご覧ください 。またはアカウントチームに連絡いただくか、New Relic サポートにお問合せください。
The views expressed on this blog are those of the author and do not necessarily reflect the views of New Relic. Any solutions offered by the author are environment-specific and not part of the commercial solutions or support offered by New Relic. Please join us exclusively at the Explorers Hub (discuss.newrelic.com) for questions and support related to this blog post. This blog may contain links to content on third-party sites. By providing such links, New Relic does not adopt, guarantee, approve or endorse the information, views or products available on such sites.
