Comments
Description
Transcript
データセンター・ファイアウォールの新しいパラダイム
ホワイトペーパー データセンター・ファイア ウォールの新しいパラダイム 企業ネットワークに対する攻撃はますます多様化、増加 の一途を辿っており、従来型の外部脅威対策を構成する セキュリティ関連ソリューションでは対応できない攻 撃 ま で 増 え て き て い ま す。F5 BIG-IP® Local Traffic Manager ™(LTM)は、より低い初期投資でこのような 最新の攻撃手法に対する様々な対策をご提供します。 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム 目次 はじめに ファイアウォールの限界 データセンターの新しいアーキテクチャ 3 4 5 BIG-IP の提供するユニファイド・セキュリティ 7 BIG-IP によって得られる恩恵 9 ファイアウォールの障害によるジレンマを解決する 9 結論 10 2 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム はじめに 多くの組織では、ファイアウォールが Web サービスやアプリケーション・ サービス保護の最前線となっており、ほとんどの従来型ネットワーク・セ キュリティ・アーキテクチャの主要な基盤となってきました。ビジネスイン パクトが大きいアプリケーションやサービスを保護するため、企業はファイ アウォールを含む可用性の高い冗長構成をどのように組むか、という点に長 年取り組んできました。そのために一般的に「ファイアウォール・サンドイッ チ」として知られているような、負荷分散とともにセッション管理をする目 的でファイアウォールの手前と背後の両方に負荷分散装置を設置するよう な構成も存在しています。ですが、基本的に効果的な外部脅威対策は、シン プル且つ強力なアクセス制御である、データセンター・ファイアウォールに よって実現してきました。 しかし、かつて無いほどさまざまな外部脅威は進化し続けており、残念なが ら、最新の攻撃への柔軟な対応という要求に対してデータセンター・ファイ アウォールの限界が見え始めています。アプリケーション層やネットワーク 層を対象にした攻撃も増えてきており、従来型のファイアウォールを導入し てもコストに見合う脅威対策が実現できなくなってきています。 ファイアウォールの障害を引き起こす攻撃 回答率(%) 100 80 64% 58% 60 40 42% 36% 20 0 ネットワーク層 攻撃による障害発生の報告あり アプリケーション層 障害発生の報告なし 図 1: 2011 年の Applied Research による調査では、多くの企業が、アプリケーション層また はネットワーク層への攻撃によりネットワーク・ファイアウォールの障害が発生したと回答し ています。1 1 http://www.f5.com/news-press-events/press/2011/20111108.html 3 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム 攻 撃 者 は、こ れ ら の フ ァ イ ア ウ ォ ー ル 障 害 に よ る 混 乱 を 利 用 し ま す。 Anonymous や LulzSec による攻撃などでは綿密な計画とターゲット選定が準 備されますが、現在数多く見られる攻撃は即時に実行されます。ボットネットと いうこの手法において、攻撃者はネット上に既に存在する潤沢なリソースプール を利用して、狙いすましたターゲットに一斉に攻撃を仕掛けます。中国やインド などの新興国で法規制が整備されていない事もあり、攻撃者は巨大なボットネッ ト攻撃に必要な環境を簡単に確立できます。世界各国及び地域がこのような環境 を断絶するべく法的措置の合意に達するまで、攻撃者はこれらのボットネットを 利用して攻撃を続ける事は可能となってしまっています。 ますます増えつつあるこの種の攻撃にはネットワークスタックの複数の層がかか わっており、ファイアウォールの障害を引き起こします。従来のファイアウォー ルではこの攻撃を検出できず、結果として、ビジネスインパクトへの影響を阻止 することができません。アプリケーション層のプロトコルや挙動を利用する攻撃 を阻止する機能を、アプリケーション層に実装する必要もあります。 ファイアウォールの限界 近年の、Anonymous や LulzSec などの攻撃から学ぶことがあるとすれば、そ れは、情報セキュリティの未来は、ネットワークレイヤからアプリケーションに 直接関わるデータセンターのアーキテクチャまで幅広く対処しなければならな いということです。従来の分散型サービス拒否攻撃(DDoS)は、文字通りクライ アントが分散していました。さまざまな場所から攻撃することで、検出とブロッ クを回避する方法を採っていました。これに対し DDoS のセキュリティは、 (個 人であれ組織であれ)単一の攻撃者からの単一の種類の大量攻撃に対応する設計 でした。しかし、最近の攻撃は分散して連携するだけでなく、ネットワーク層の レイヤ 2 からレイヤ 7 までにまたがっているという意味でも分散しています。分 散型サービス拒否攻撃(DDoS)であるだけではなく、多層の分散型サービス拒 否攻撃(DDDoS: diverse distributed denial of service)でもあるのです。 その結果、ファイアウォールは過負荷になり、サービスプロバイダの通信速度 は著しく低下してサービスが中断します。原因は、多数が連動した単一の攻撃 ではなく、SYN フラッド攻撃、Ping of Death 攻撃、過剰 HTTP ヘッダおよび Slowloris 攻撃、および旧型の HTTP GET フラッド攻撃などが連続して発生す ることによるものです。特にアプリケーション層への攻撃は正当なアクセスとの 判別がつきにくいため、従来のセキュリティ手法で検出するのはほぼ不可能で す。 4 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム 攻撃の種類別頻度 ディレクトリ・トラバーサル攻撃 クロスサイト・リクエスト・フォージェリ攻撃 クリアテキストで送信された 機密情報の盗難 クロスサイト・スクリプティング攻撃 URLの入力による、機密領域への 未許可ユーザの直接アクセス インジェクション攻撃 アプリケーション層DoS攻撃 セキュリティの設定不備 暗号化されたデータへの権限のない アクセス DNS攻撃 ネットワーク層のサービス拒否攻撃 0 5 10 15 20 25 30 35 40 45 50 (%) Source: Applied Research, Sept 2011 図 2: 頻度の高い攻撃の種類 ファイアウォールの障害がユーザ企業のビジネスに深刻な影響を与えるのはここ まで見てきた通り明らかです。しかし、このようなアーキテクチャに起因する問 題は、新しいアプローチによって対処する事ができます。 データセンターの 新しいアーキテクチャ パケット・フィルタリングと同様に、ス テートフル・インスペクションでは、 ネットワーク層のパケットをインター セプトして、既存のファイアウォール によって許可されているかどうかを 調べます。ステートフル・インスペク ションがパケット・フィルタリングと異 なるのは、ステートテーブルで各接続 を追跡する点です。 出典 :NIST,“Guidelines on Firewalls and Firewall Policy” 今日の広域にわたる脅威は、ネットワークおよびアプリケーション・エコシステ ム全体に被害を及ぼします。一般的に、広域の脅威を緩和するソリューションは、 アプリケーション、ネットワーク、および DDoS などの論理グループ別に攻撃に 対処する固有のテクノロジを実装しているため、それぞれ個別に導入します。 5 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム レイヤ1∼ レイヤ7 最新の脅威への 対処 最新の脅威 アプリケーション XSS、SQLインジェクション、 データ漏えい、スパム プレゼンテーション SSL、XML暗号化、イメージ セッション ソケット、RPC、NetBIOS、認証 auth、 SNMP トランスポート SYN/ACK攻撃、ポートスキャン、MitM ネットワーク ポートフィルタ、IPフラグ、 スプーフィング、スマーフ データリンク VLAN、ARPポイズニング 物理 管理インターフェイスの セグメンテーション OWASP Top 10 アプリケーション 攻撃 DDoS ネットワーク 攻撃 ? アプリケーション DDoS攻撃の対策 ネットワーク DDoS攻撃の対策 ネットワーク・ ファイアウォール 機能 図 3: 最新技術でもすべての脅威(特に DDoS)には対処できない。 分断したソリューションではアプリケーション層の DDoS 攻撃に対して十分な 対応が出来ず、且つ残念ながらこのような攻撃は増加傾向にあります。アプリ ケーション DDoS は、従来のネットワーク対象の DDoS 攻撃によって発生する 莫大なトラフィックと連動して、ファイアウォールの背後のリソースに損害を与 えます。 多くの大規模データセンターが実際に直面している問題調査の一貫として、F5 ネットワークスは、最新の多層攻撃による影響について、数多くのユーザから直 接、情報を提供していただきました。情報を分析した結果、残念ながら、ファイ アウォールの障害発生は決して珍しい事象ではないことが判明しました。実際、 2011 年 9 月のセキュリティ調査で、これらの障害について従来のセキュリティ 手法がネットワークのセキュリティ維持に十分有効であると回答したのは回答者 の 8% にすぎません。2 これらの攻撃の影響を緩和し、顧客サービスの可用性を 維持するための方策の一環として、多くのお客様がネットワーク層とアプリケー ション層両方の攻撃への対処として、既に BIG-IP® アプリケーション・デリバリ・ コントローラをデータセンターに活用していることがわかりました。 2 http://www.f5.com/news-press-events/press/2011/20111108.html 6 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム BIG-IP の提供するユニファイド・セキュリティ 外部攻撃に対する IT インフラのパフォーマンスの新しい指標となるのは、スルー プットではなく接続数です。最新の攻撃は、接続数 / スループットの比率を高め ることを目標としています。ほとんどすべてのケースで、ネットワークまたは ポートが飽和して問題となるよりもはるか前に、接続は過負荷の状態に達しま す。ソリューションの一部には、高い接続キャパシティが必要です。 BIG-IP Local Traffic Manager(LTM)には、標準でネットワーク・ファイ アウォール機能が実装されており、ネットワーク層の保護に、従来のファイア ウォールよりも多くの接続容量を提供します。BIG-IP LTM は最大 32,000,000 接続に対応しており、タイムアウト時の挙動、バッファサイズ、攻撃を受けた時 のさまざまなセキュリティ・オプションを管理できます。 多くのネットワーク・ファイアウォールと同様に、BIG-IP LTM はさまざまなし きい値に基づいて、TCP トランスポート層(レイヤ 4)の SYN フラッド攻撃も検 出します。検出にあたっては、BIG-IP LTM は一般的に有効な技法を使用して接 続に SYN クッキーを適用し、ダウンストリームのインフラストラクチャ・サー ビスやアプリケーション・サービスが停止しないように大量の接続を阻止します。 アプリケーション・プロトコルとトラフィック管理技術に極めて特化した BIGIP LTM は、アプリケーション層のプロトコルを利用する攻撃を阻止するため に、仕様や標準だけではなく、その挙動を監視して対処します。BIG-IP LTM は、IPv4、IPv6、TCP、HTTP、SIP、DNS、SMTP、FTP、Diameter、 お よ び RADIUS の通信をデコードします。ペイロードに加え、プロトコルに基づいて高 度な分析を行うことができます。BIG-IP LTM は進行中の攻撃の兆候を示す異常 を検出し、適切に対処します。たとえば、BIG-IP LTM はクライアントごとのレ イヤ 7 接続数を 1 秒ごとに検出し、レイヤ 7 ベースの攻撃を緩和することが実証 プロトコル防御 F5 のスクリプト言語 iRules は、 BIG-IP LTM と連携して以下の ような一般的なプロトコルの脆 弱性を修正します。 · ASP.NET の「パディングオラ クル」の脆弱性 · TLS 中間者攻撃 · FTP ブルートフォース攻撃 · HTTP“Accept”ヘッダ攻撃 · PushDo ボットの緩和 · HTTPリクエスト・スマグリング · THC SSL DoS の脅威 されている、さまざまなレート制限スキームを適用します。 このようなプロトコルの処理に特化した強みはプロトコルの曖昧な仕様などに 起因する脆弱性を利用する攻撃に対しても有効です。最新の BIG-IP LTM では、 TCP、SSL、HTTP、SMTP、FTP、および DNS などのプロトコルに対し、スムー ズでセキュアな処理を行います。 この BIG-IP の強みは非常に重要な意味を持ちます。ユーザの環境に合わせたプ ログラミングが可能な iRules を活用し、標準的なプロトコルのみならず、最新 のプロトコルや特殊な処理が求められるプロトコルまでも柔軟に処理できるか らです。BIG-IP LTM では、この iRules を活用することにより、ベースの対応強 化、トラフィック・スティアリング、レート制限、およびレスポンス・インジェ クションなどの対処が可能となります。iRules は、例えば 2011 年に公開された Apache Killer の件のような、まだパッチがリリースされていない脆弱性の緊急 対応などに特にその強みを発揮します。3 3 F5 Friday: Zero-Day Apache Exploit? Zero-Problem 7 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム トラフィックフローの制御に加えて、BIG-IP LTM はサーバ側のレイテンシを追 跡できます。この機能とクライアントの挙動の可視化によって、BIG-IP LTM は、 各クライアントが遅延しきい値を超えた場合に検出・精査し、その遅延がスクリ プトによるものか、実在するユーザの操作によるものかを判別します。一般的に、 自動化された外部からの攻撃に使われるスクリプトは挿入された JavaScript を 処理できず、当然応答もできないため、この方法によって、大多数の外部脅威を 検出して防ぐことができます。 BIG-IP LTM では、アプリケーション・サーバの応答をインターセプトして調 べることができます。攻撃を受けた際、サーバがスタックトレースまたはサーバ エラー状態などに陥りその情報が外部に読み取られてしまう可能性があります。 BIG-IP LTM はこれらの潜在的な脆弱性情報を認識するので、IT スタッフは、応 答する内容を検査し必要に応じて情報の流出を防止、別サーバへの転送、または 個別の対応の設定などを実施し、情報漏えいのリスクを減らすことができます。 BIG-IP LTM のネイティブ・アプリケーション層セキュリティは、F5 BIG-IP® Application Security Manager ™(ASM)などのウェブ・アプリケーション・ ファイアウォールとは異なります。BIG-IP LTM の機能は、米国国立標準技術研 究所(NIST)が以下のように定義するアプリケーション・プロキシ・ゲートウェ イの定義に、より準拠したものになります。 「アプリケーション・プロキシ・ゲートウェイとは、より低いレイヤのアクセス 管理とアプリケーション・レイヤの機能を組み合わせた、高度なファイアウォー ル機能である。これらのファイアウォールには、相互の通信を試行する 2 つの ホスト間で仲介手段として動作するプロキシエージェントが含まれる。ホスト 間の直接接続を許可しないアーキテクチャである」 (NIST,“Guidelines on Firewalls and Firewall Policy”) BIG-IP ASM の機能と、当資料でご紹介する BIG-IP は似ている所がありますが、 ウェブ・アプリケーション・ファイアウォールは、受け取るトラフィックデータ の検証やデータスクラブなどのアプリケーション固有のセキュリティに特化して います。これに対し BIG-IP は、主にクライアントそのものの挙動及び Web サイ ト / アプリケーションとのトラフィック処理に特化しています。 8 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム BIG-IP によって得られる恩恵 ネットワークおよびアプリケーション・レイヤのセキュリティ両方をネットワー クのエッジで提供する BIG-IP プラットフォームを導入する利点の 1 つは、プ ラットフォームの内部アーキテクチャが統合されているということです。BIGIP の中心となるのは TMOS アーキテクチャです。TMOS は、高速ロギング機 能、オーディット機能、ポリシー管理など、セキュリティ機能を保管する様々な 機能を多数提供します。統合 BIG-IP プラットフォームは、レイヤ 3 からレイヤ 7 のレポートやアラートを統合して表示し、Security Information and Event Management(SIEM)ソリューションと連携します。このようなレポーティン グ機能は International Computer Security Association(ICSA)による必須 要件に含まれています。 また、この BIG-IP の統合アーキテクチャでは、従来のネットワーク・ファイア ウォールのレイヤ 3/ レイヤ 4 とアプリケーション・レイヤ 5 ∼レイヤ 7 に関わ る機能が網羅されており、DDoS セキュリティ、標準的なファイアウォール機能、 アプリケーションの防御ポリシーを同一のデバイス上で実装できます。また、主 要なセキュリティ機能を同一プラットフォーム内のすべての BIG-IP 製品に適用 できます。これにより、システム全体に一貫したネットワークおよびアプリケー ション・セキュリティを導入できます。 マルチレイヤをカバーするセキュリティと統合されたポリシー管理によって、 BIG-IP LTM は Web サイトおよびアプリケーションの可用性確保に必要な外 部脅威対策を極めて効率的に、セキュリティ面にも妥協すること無く実現できま す。これが、従来型のファイアウォールの障害発生による運用リスクを解決する、 新しいデータセンター・アーキテクチャです。 ファイアウォールの障害によるジレンマを解決する 攻撃によるファイアウォールの障害発生の解決策の 1 つとなるのは、外部ユーザ 向けアプリケーションのインバウンド・トラフィックから問題を取り除くこと です。これは、ファイアウォール自体の排除を示唆しているのではなく、従来型 のファイアウォールを BIG-IP LTM に置き換えることで、よりスムーズなトラ フィックフローを実現するという事です。一般的に、大量の攻撃トラフィックを 受けると、従来型のファイアウォールでは過剰な接続数によって障害が発生した り、最低でもそのリソースが逼迫してパフォーマンスが低下します。このような リスクをネットワークから取り除き、大量なトラフィック管理に特化した BIG-IP を導入すると、ネットワーク層とアプリケーション層両方のインバウンド・トラ フィックを処理して、データセンター内部ネットワークに混乱をもたらす可能性 のあるすべての不正トラフィックを検出し排除できます。 9 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム データセンターの新しいアーキテクチャ クラウド/サービス プロバイダ 支店 レイヤ2-3 スイッチ レイヤ4-7 サーバ アプリケーション・ デリバリ・コントローラ 物 理 ストレージ NAS SAN クライアント BIG-IP LTMファイアウォール ルータ WAN最適化コントローラ 仮 想 Windowsファイル ストレージ セキュリティ リモートアクセス SSL VPN アプリケーション・ ファイアウォール 図 4: データセンター・アーキテクチャでステートフル・ファイアウォールを BIG-IP LTM に交換する このアーキテクチャには従来型のファイアウォールにも実装されている機能も 含まれますが、より多様な攻撃に対する防御機能が強化されています。さらに、 BIG-IP LTM がデータセンターの入り口で外部脅威対策として機能すると内部 ネットワークのリスクとセキュリティ・インフラストラクチャの負荷が軽減され、 全体最適も図れます。 結論 近年の攻撃の増加は攻撃方法の進化も伴っており、アプリケーション層プロトコ ルと脆弱性がターゲットとなっています。企業や団体の Web を無効化する手段 としてその効果が認知されてきたため、多層攻撃が主流となっています。 「IT 管理者とハッキング犯罪者のい たちごっこは、2011 年にアプリケー ション層 DDoS 攻撃が急増し激化し ました。政治的、社会的な主張に基 づくハッキング犯罪「ハクティビズム」 の増加により、Web サイトの無効化、 機 密 情 報 の 窃 盗、Web アプリケ ー ションの改変などの攻撃を見極め、撃 退するため、企業には今まで以上の 取り組みが求められています」 Mike Paquette Chief Strategy Officer, Corero Network Security 出典 :Top DDoS Attacks of 2011 従来のファイアウォールはアプリケーション層をある程度保護しますが、アプリ ケーション・プロトコルの不正操作を検出し緩和するようには設計されていま せん。また、サービスを中断させる、クライアントの異常な挙動を検出して対処 することはできず、広範な攻撃にあわせて拡張することもできません。これらの ファイアウォールで障害が発生し、データセンター全体のすべてのサービスを止 めてしまう、というケースが増えてきています。 アプリケーション層向けの BIG-IP LTM を従来型のファイアウォールと組み合 わせることによって、デバイスの障害を引き起こさずに最新の攻撃を撃退するソ リューションを構築できます。更に BIG-IP LTM を、BIG-IP® Global Traffic Manager ™(GTM)および BIG-IP Application Security Manager(ASM) とともに導入すると、ネットワークスタックの下位から上位までを完全に保護し て最新の脅威を緩和するユニファイド・セキュリティ・アーキテクチャを実現し ます。BIG-IP GTM は、重要な DNS サービスを DoS 攻撃やハイジャック攻撃か 10 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム ら保護するドメイン・ネーム・システム拡張(DNSSEC)と DNS Express を 実装し、BIG-IP ASM は、Web アプリケーション・ファイアウォール・サービ スを提供します。 最新の F5 ネットワークス製品に実装されている ScaleN を活用すると、大量の 攻撃にさらされるセキュリティ・ソリューションに欠かせない拡張性を、さら に高めることができます。BIG-IP LTM は、物理インスタンスおよび仮想イン スタンス両方でスケールアウト可能なため、柔軟なリソース強化を実現し、外 部攻撃によるサービス中断を回避し、ネットワークの可用性を確保できます。 ScaleN によって実現するスケーラビリティは、安定したアプリケーション・サー ビスとセキュリティサービスの運用にもつながっていきます。 F5 ネットワークスがご提供するセキュリティ・ソリューションを活用すると、 高いスケーラビリティを併せ持ったユニファイド・セキュリティを実装し、現在 既に存在する外部脅威対策のみならず将来的にますます増加する外部脅威にすら 対応できる柔軟なインフラを構築することが出来るのです。 11 F5 ホワイトペーパー データセンター・ファイアウォールの新しいパラダイム 東京本社 〒107-0052 東京都港区赤坂 4-15-1 赤坂ガーデンシティ 19 階 西日本支社 〒530-0017 大阪市北区角田町 8- 47 阪急グランドビル 20 階 TEL 03-5114-3210 FAX 03-5114-3201 TEL 06-7711-1655 FAX 06-7711-1501 www.f5networks.co.jp © 2011 F5 Networks, Inc. All rights reserved.F5、F5 Networks、F5 のロゴ、BIG-IP、FirePass、および iControl は、米国および他の国における F5 Networks, Inc. の商標または登録商標です。本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商 標です。これらの仕様はすべて予告なく変更される場合があります。本発行物の記載内容に誤りがあった場合、あるいは記載内容を更新する義務が生じた場合も、F5 ネットワークスは一切責任を負いません。F5 ネットワークスは、本発行物を予告なく変更、修正、転載または改訂する権利を 有します。 CS01-00072 1111