Comments
Description
Transcript
Web
安全と加速∼Blue Coatが提供する包括的な WAN最適化ソリューション ブルーコートシステムズ August 2008 内容 • インターネット上の脅威の現状 • セキュアWebゲートウェイソリューション • パケッティア社買収について インターネット上の脅威の現状 インターネット経済の牽引者 • 合法経済 – オンライン広告 • – • サーチエンジンや協調的コンテンツによってドライブされる 情報アクセスは、24時間7日、どこからでも 非合法経済 – 個人情報は新しい『貨幣』 • – 個人情報、CRM/HRデータベース、ラップトップコンピュータ マルウェアのインフラ • 機能が分散(検出、開発、貸出し、実行) • ゴールは検出されないこと、見られないこと 攻撃方法の変化 • 広範囲、高速 • 目標を決めて一気に • 目に見える、DoS • 目に見えない • 損害/汚損 • データ収集/識別情報 • 巧妙/プライドを満たすため • 利益を満たすため • アマチュア • プロフェッショナル ILOVEYOUウィルスは4500 ILOVEYOUウィルスは4500 万台のPCに1日で感染し、 万台のPCに1日で感染し、 損害を与えた(2000年) 損害を与えた(2000年) 犯罪が、低リスクで見えにくく、高利益 かつ極めて流動的なものに移行している - Why steal the crown jewels? STORM STORM––2006末より、ソー 2006末より、ソー シャルマルウェア(ソーシャル シャルマルウェア(ソーシャル エンジニアリングを使った エンジニアリングを使った P2Pソフトによって管理された P2Pソフトによって管理された 再利用可能なボットネット)が 再利用可能なボットネット)が Webやメール上で成長 Webやメール上で成長 攻撃の方向性の転換 • • 攻撃がSMTPからHTTP/SSLにシフトしている – 83%のSPAMはURLを含んでいる – 人気のあるWebサイトにhtml/iframesを注入する(malframes) • Webによる感染の70%は正規Webサイトから発生している • ファイアウォール、URLフィルタリング、レピュテーションスコア、 AVスキャニングを迂回する • Fast-Flux DNSによりソースを隠す、あるいは何千ものサブドメインによ り本当のサイトを隠し、hostIDレーティングを役に立たないものにする 大きなイベントが感染を誘発 – オリンピック、スポーツイベント、選挙、大きなニュース 状況はより悪化している – Web 2.0 • Web 2.0がWebを双方向コンテンツやマッシュアップが 可能なアプリケーションプラットフォームに変化させている – • 新しいサービス – • Blogs, Wikis, Podcasts, RIAs, RSS, Tagging, Widgets 新しいテクノロジー – • SaaS, Social Computing, Collective Intelligence アプリケーション/技術 – • 参加型や、データソースの練り直しのためのアーキテクチャ AJAX, Flash/Flex, XML, XAML, OpenAPIs, Plugins 今日のおもちゃは明日のツール… – YouTubeをトレーニングで利用、Wikisを知識集約ツールとして利用 – 企業に強力なROIを提供 Web 2.0 – セキュリティの視点から • アクセスのしやすさの拡大 – • オープンな環境 – • 誰でも発行/貢献できる 豊かな経験 – • 職場環境と社会環境のブレンド インタフェースの影にある複雑なアクティビティ Web 2.0による影響: – データ漏洩のパスが増える – 攻撃にさらされるエリアが増える – 攻撃に対する透過性が高まる – 『信頼』に要するシナリオが複雑化される – 従来の境界が侵食される 従来型のセキュリティのための城壁 は侵食されている 厳しいセキュリティはビジネスを遅らせる 全トラフィックをリアルタイムに検査する ファイルのAVスキャン 全コネクションを傍受する SSLの暗号化/復号化 機密情報のサーチ Webサーフィンに対するポリシーの適用 IM、P2P、ストリーミングアプリのコントロール ユーザアクセスが遅くなる ユーザのフラストレーションがたまる ユーザの生産性向上のためには加速が必要 セキュアWebゲートウェイソリューション セキュアWebゲートウェイに要求される技術 非生産的なWebサー 非生産的なWebサー フィン、悪意のある フィン、悪意のある サイトをブロック サイトをブロック 他のインターネット 他のインターネット アプリへのアクセス アプリへのアクセス をコントロール をコントロール 機密情報の漏洩を 機密情報の漏洩を 防止(SSLで暗号化さ 防止(SSLで暗号化さ れた物も含めて) れた物も含めて) セキュアWebゲートウェイ セキュアWebゲートウェイ URLフィルタリング スパイウェア、 マルウェアの防御 インターネットアプリ のコントロール (IM, P2P, ストリーミング) SSLの可視化と コントロール 情報漏えい防止 アプリケーション の加速 パフォーマンス&スケーラビリティ マネージメント&リポーティング ビジネスクリティカルな ビジネスクリティカルな インフラ上で証明され インフラ上で証明され たスケーラビリティ たスケーラビリティ スパイウェアのダウン スパイウェアのダウン ロード防止、流入する ロード防止、流入する 全Webコンテンツに対 全Webコンテンツに対 するウィルススキャン するウィルススキャン SSLでトンネルされた SSLでトンネルされた ウィルスのブロック、 ウィルスのブロック、 見えない不要なトラ 見えない不要なトラ フィックを防ぐための フィックを防ぐための SSL検査 SSL検査 アプリを加速する アプリを加速する キャッシング、プロト キャッシング、プロト コル最適化、帯域幅 コル最適化、帯域幅 管理の利用 管理の利用 単一のマネージメント 単一のマネージメント コンソールと包括的 コンソールと包括的 なユーザベース なユーザベース リポーティング リポーティング SWGを名乗るポイントソリューションに注意 Source: Gartner 2006/2007 セキュアWebゲートウェイデザインの基準 • アプライアンス/専用OS/TCPスタック/Webオブジェクト処理の ために設計されたキャッシュ – 稼動時間、スループット、信頼性の最大化 • Webプロトコル/アプリケーションのカバー範囲(新旧問わず) • 認証、承認、ロギング、リポーティング • Webコンテンツの最適化と加速 • 不要なWebコンテンツのフィルタ、ブロック • 脅威のスキャン、検出、ブロック • 情報漏えい防止、オープンな統合ポイント Blue Coat ProxySGの優位性 10年を越える経験がつまったソリューション • プロキシがWebコンテンツに対する幅広い 可視化を提供 • ポリシーコントロールが、 緻密なフィルタ/ストリップ/ブロックを提供 • SG8100 Series SG810 Series WAN最適化機能が加速を提供 SG510 Series カスタムOS SG210 Series 経験 ポリシー ProxyClient Blue Coat セキュアWebゲートウェイ ソリューション ProxyAV FIDELITY Salesforce インターネット Google ProxySG Reporter Director リポート機能と集中管理 URLフィルタリング インターネットアプリのコントロール (IM, P2P, ストリーミング) インターネッ ト 情報漏えい防止 スパイウェア、マルウェアの 防御 • SSLの可視化とコントロール アプリケーションの加速 パフォーマンス&スケーラビリティ Centralized management with reporting マネージメント&リポーティング オールインワン ソリューション – 単一のポリシーアクセスコントロール – 統合化のためのシングルポイント • 例: 認証 • 単一機能製品よりも優れたコスト パフォーマンス • コントロールしながらも高性能 • 簡単な設定と管理のためのシンプルな ユーザインタフェース マルチレイヤWebセキュリティ インターネット アンチマルウェア URLフィルタリング • 複数のカテゴリー • On the fly フィッシング サイト検出 ポリシーベース コンテンツフィルタリング • 悪いアプリケーションの コントロール • ファイルタイプの チェック&ブロック • 選択的SSLインターセプト リポーティング リアルタイム マルウェア検出 • ユーザの操作感を そこねない • Scan once serve many BCWF − WebPulseエコシステム (Blue Coat Web Filter) “各ユーザのリクエストが、全ユーザのためのエコシステムをアップデートする” リアルタイム レーティング サービス Webフィルタ マスター 毎日1億ユーザ アクセス • 好ましくないコンテンツ • 画像サーチ • サーチエンジンキャッシュ • 翻訳サービス • プロキシ回避 • フィッシング検出 ProxyClient v5.3 ProxySGのBlue Coat Web Filterの機能: WebFilter ProxySG 企業サイト DRTR - On/Off - Passive WebFilter ProxySG ISPサイト • 70+カテゴリ、50言語、1500万+のレーティング • コンテンツ、フォーム、リンク、URLの起源の解析 • ヒューリスティック解析とバイナリスキャン • 疑わしいサイトに対するWebレピュテーションレーティング • 適用性の高いポリシーのための複数カテゴリへの所属 • 地域的なURLリストや、カスタムURL DB/カテゴリのサポート • 単純なAllow/denyに加えてoverridesやexceptionsも可能 • 安全なサーチモードのためのヘッダ解析/リライト • カスタムアラートを使ったユーザへのアドバイス/コーチ K9: http://www.bluecoat.co.jp/k9webprotection/index.html ICAP連携によるセキュリティ機能追加 導入オプション: - 外向けトラフィック解析のための REQ-MOD (対クライアント要求) - 内向けトラフィック解析のための RESP-MOD (対クライアント要求に対する応答) - ProxyAVを RESP-MOD トラフィック解析用に導入 - 情報漏えい防止(DLP)装置を REQ-MOD トラフィック解析用に導入 - ProxySGは、AVとDLP解析のために3つのNICを持つ - オフロードはWebゲートウェイのために最適な性能を提供 ProxySG インターネット RESP-MOD ProxyAV REQ-MOD 情報漏えい防止 (DLP) Webアクセスの可視化 − Reporter • アクセスログ解析用の専用ソフトウェア (Windows/Linux) • クライアントからWebブラウザで参照 • 静的なリポートの作成と、インタラクティブ なログ解析 • 約140の定義済リポートフォーマット • スケジューリング機能による定期的なリポート作成・送付 内部統制、コンプライアンス対応用ツールとしての需要大 Reporterを使ったログの追跡調査 どのカテゴリが トラフィック多い? 誰? どこにアクセス? 集中型Webアクセス管理 − Director Director • 分散配置された500台までの ProxySGの集中管理 GUI • DashboardによるSGの一元 管理画面 • プロファイル(テンプレート)を 使った一元設定管理 • オーバーレイ(上書きテンプレート)を使った一元パッチ当て • 一斉バックアップ、リブート、キャッシュクリア • 高速化のためのコンテンツの事前配信 • これらをスケジュール化させて実施可能 ProxySG 企業のポリシーマネージメントに貢献 ポリシーの 設定と実行 ProxySG ビジュアル・ポリシー・マネージャ(VPM) 企業 Webポリシー Reporter ポリシー配信 監視と報告 Director Blue Coat SWGソリューション − 安全+加速 • 全てのリクエストに対して: – オブジェクトキャッシングはWebリクエスト性能を50%向上させる • オブジェクトパイプライニングとアダプティブリフレッシュ機能 (特許取得済) – 帯域幅管理(例:ストリーミングメディア) – プロトコル最適化 オブジェクト キャッシュ プロトコル 最適化 帯域幅管理 Log Files Reporter マルウェア 検出 プロトコル 整合性 コンテンツ フィルタ データ タイプ アクティブ コンテンツ Internet URL フィルタリング DLP チェック AAA ポリシー メソッドコントロール 証明書チェック ProxySG トレンド: 集中型から分散型へ • インターネットアクセスに対するコントロール、Webセキュリティ、 高速化を提供 本社データセンター インターネット イントラネット (MPLS, 広域LAN) 支店A 支店A 支店B 支店B 分散型プロキシ(Direct to the Net) • ブロードバンド回線を各支店に引き込み、インターネットアクセス は支店から直接行うようにする イントラネットからインターネットトラフィックを無くする 本社データセンター Director ProxyAV 支店A 支店A インターネット イントラネット (MPLS, 広域LAN) 支店B 支店B ブロードバンド回線 パケッティア社買収について Better Together = リーダーシップ • WAN最適化およびセキュアWebゲートウェイのリーダー企業 – WOC市場シェア第一位(IDC調査) – SWG分野でリーダー(2007年Gartner MQ) – WAN最適化で市場シェア第一位(Infonetics調査) • 合算収益:5億ドル • 26ヶ国に営業拠点 • 7ヶ国で24時間365日体制のグローバル・サポートを提供 • 顧客数:15,000社以上 • 全世界のアプライアンス設置台数:100,000台以上 • 全世界の従業員者数:1400名以上 • グローバル体制 – 営業チームの増加: 340 470 – 営業担当者の増加 – パートナー範囲の増加: 1100 2500 – 顧客の重要課題に対応できる能力の増強 – 24時間365日体制のグローバル・サポート エンドユーザーとアプリケーションの変化 SaaS エンタープライズ データセンターの統合 Salesforce Workday WebEx Taleo ユニファイド・コミュニケーション リモート・オフィス ビデオ IPテレフォニー メッセージング WANおよび インターネット Web 2.0およびマッシュアップ モバイル・ユーザー eBay Morpheus Facebook BitTorrent Google YouTube アプリケーション配信においてコネクティビティ(接続性) だけでは足りない エンタープライズ データセンターの統合 ユニファイド・コミュニケーション • コネクティビティ・ネットワーク: ビデオ IPテレフォニー メッセージング – どんなアプリケーションが動作 しているか把握していない – ユーザーおよびコンテンツに ついて限られた情報しかない – 何がマルウェアで、何がそう でないかが判断ができない – ミッション・クリティカルなアプ リケーションを制御できない SaaS リモート・オフィス Salesforce WANおよび インターネット WebEx Workday Taleo Web 2.0およびマッシュアップ モバイル・ユーザー eBay Facebook Google Morpheus BitTorrent YouTube 新たな種類のレイヤーが必要… Blue Coat のアプリケーション配信 ブルーコート See Accelerate Secure アプリケーション パフォーマンスの監視 WAN最適化 セキュアWeb ゲートウェイ ブルーコートのアプリケーション配信ネットワーク エンド・ツー・エンドでユーザー・エクスペリエンスを制御 See: アプリケーション・パフォーマンスの監視 See Accelerate Secure すべてのアプリケーション・トラフィックを検出 600を超えるアプリケーション、可否の判断、複雑なアプリケーション・HTTP内でのサブ分類 ユーザー・エクスペリエンスの監視 測定と通知、SLA順守、 VoIP基準、他のツールとの統合 パフォーマンス問題のトラブルシューティング 遅延、接続、ホスト、アプリケーション・パフォーマンスの切り離し、キャプチャおよび分析 課題の解決、問題を事前に回避 ユーザーが連絡してくる前に、高速化と制御機能によってパフォーマンス問題を解決 Accelerate: すべてのアプリケーションを対象にWAN最適化 PacketShaper ProxySG See Accelerate ストレージの統合 ファイル・アクセス 電子メール イントラネット バックアップおよびデータ複製 イメージ配布 ビデオおよびマルチメディア ビジネスWeb サービスとしてのソフトウェア (SaaS) レクリエーション・トラフィック(抑制) 悪質トラフィック(阻止) 音声 ビデオ会議 リアルタイム・トランザクション シン・クライアントおよびRTバーチャル Secure 社内バルクアプリケーション 外部アプリケーション リアルタイム・アプリケーション Secure: セキュアWebゲートウェイ See Accelerate マルウェア対策 • 送信されるWebトラフィックをリアルタイムでフィルタリング • 悪質なWebコンテンツへのアクセスを削減 従業員の生産性を保護 • 高度なURLフィルタリング:ブルーコート & サードパーティ • ポリシーに基づき不正なコンテンツを阻止 情報漏洩を防止 • サードパーティと統合化されたデータ漏洩防止保護機能 • 機密情報の流出の監視、通知、防止 信頼性を認証 • IDベースのアクセス・ポリシー: 不正使用を防止 • 11種類の認証プロトコルをサポート Secure Blue Coat のソリューション PacketShaper ProxySG アプリケーション可視化および QOS セキュアWebゲートウェイ WAN最適化 アプリケーション・パフォーマンスの 監視 マルウェア対策 コンテンツ配信ネットワーク P2Pトラフィック・シェーピング SSL可視化と制御 リモート高速化 アプリケーション可視化 Webコンテンツ・フィルタリング アプリケーション・フロント・エンド MPLS移行 リモートWebコントロール アプリケーション高速化 帯域管理 IMおよびP2Pコントロール サーバー統合 VoIP導入 情報漏洩防止 複製およびバックアップ 可視化できないことにより発生する問題 • ビジネス用途でのWANの利用状況が不明 • WAN帯域への投資に対する回収が正しく行われているかの 判断材料がない • 音声統合、MPLSなどのプロジェクトに対するSLAを確保す ることが困難 • ネットワーク性能を正しく理解する術がない – 稼働率、効率、応答時間など • 診断能力の欠如 • 性能問題を仮定と推測に基づいて解決しようとするしかない WAN の利用状況を見る • • P2P 12% ビジネス処理 – • Recreational Streaming 8% 一般的な企業WANには200+ のアプリケーションが存在 ほんの少しだったりしないか? 娯楽のトラフィック – Internet Gaming 5% 予想以上? E-mail 20% File Transfers 9% Oracle 7% Web Browsing 28% Citrix 5% TN3270 2% Other 4% 53% of bandwidth being used by recreational applications 14% of bandwidth is “business critical” 業界をリードする可視化とモニタリング • • レイヤ7+の可視化 – 単純なアドレスやポート番号 ベースを越える – アプリケーションについてのイ ンテリジェンスの提供: • パフォーマンスモニタリ ング • フローフォレンジクス • アプリケーションシェー ピング 自動化されたトラフィックディス カバリー – 全てのWANトラフィックを自 動的に分類、分析 ネットワークモニタリングテクノロジー • トラフィックディスカバリーを有効にする • トラフィックを分類ライブラリーと照合する – • 自動的にネットワーク上で稼動している アプリケーションのリストが構築される パフォーマンスデータの収集がスタートす る – 稼働率 – 効率性 – 応答時間 モニタリング: アプリケーション応答時間 • 個々のアプリケーションがちゃんと動作しているか? エンドユーザが問題を指摘 エンドユーザが問題を指摘 する前に、性能問題への する前に、性能問題への 取り組みを開始する 取り組みを開始する アプリケーションがきちんと アプリケーションがきちんと 動作しているかを把握する 動作しているかを把握する モニタリング: アプリケーション応答時間 • 稼動状態と、時間に敏感 なアプリケーションに対す るユーザエクスペリエンス を測定する 例: 例: SAPの応答時間が悪い: SAPの応答時間が悪い: 何が原因か? 何が原因か? サーバの過負荷が サーバの過負荷が 根本原因であることが 根本原因であることが 即座に分かる 即座に分かる モニタリング: ネットワーク稼動状況 • WANの利用がビジネス用途にきちんと使われているか? – 娯楽トラフィックで埋め尽くされていないか – P2Pや、マルウェアに感染しているPCはいないか NetWareが2日間にわたってT1 NetWareが2日間にわたってT1 リンクを占有してしまっている: リンクを占有してしまっている: Citrixのパフォーマンスに深刻な Citrixのパフォーマンスに深刻な 影響を与えている 影響を与えている 誰がなぜ? 誰がなぜ? を見つける を見つける 安全 ・ 加速 ■お問合わせ先 マクニカネットワークス株式会社 (Blue Coat 国内一次代理店) Blue Coat 製品担当 TEL: 045-476-2010 eMail: [email protected]