Comments
Description
Transcript
講演資料ダウンロード - entryweb.jp
こんなクラウドほしかった! 〜 クラウドを利用する際の不安を一掃するセキュリティとは… 〜 パロアルトネットワークス(株) 本間 庸之 2016. 6.7 パブリッククラウドを使うことによる変化 § 従来のITインフラからの変化 § リソースの所有から利用へ… § 必要な時に必要なだけ利用する クラウドセキュリティの責任分界点 § クラウドサービスにおける責任分界点 § クラウド利用企業にて必要とされるレイヤー § SaaS(Software as a Service) § ユーザリソース(データ,コンテンツ) § PaaS(Platform as a Service) § ユーザリソースから,アプリケーションまで ユーザリソース(データ等) • • アクセスコントロール データ暗号化 アプリケーション • • 脆弱性確認 セキュアなプログラム • • 脆弱性確認 権限設定 • 物理的なセキュリティ § IaaS(Infrastructure as a Service) § ユーザリソースから,ミドルウェア(場合によりOS) ミドルウェア OS ネットワーク セキュリティ対策例 クラウド利用におけるセキュリティリスク(その1) § クラウドは,仮想化技術を使ったサービス提供 § オンプレミスと異なる特性 § 仮想化技術の特性 § マルチテナンシー § 課題 : リソース分離,データ保護 § 一元管理 § 課題 : 管理コンソール権限保護 § ハイパーバイザー(ホストOS) § 課題 : 仮想化基盤の権限保護 仮想化技術特性を意識したセキュリティ対策が必要 クラウド利用におけるセキュリティリスク(その2) § クラウドサービス事業者が定める約款例 § § § § § 加入者がDoS攻撃をおこなう サービスに対する攻撃,セキュリティ脆弱性調査 ユーザアカウントの乗っ取り 脆弱性のためのポートスキャン,Probeの実行 無許可のペネトレーションテスト 等 これらの実施等が確認された場合,即利用停止となる場合も… つまり… 自身のリソースを守ることはもちろん, 踏み台等とならないようなセキュリティ確保が必要 クラウド利用時のセキュリティ対策 § ネットワークにおける制御と可視化 • • • アプリケーションレベルでの可視化 アプリケーションレベルでのアクセス制御 データ暗号化(VPN/ SSL等) § サーバの制御と可視化 • • • トラフィックの可視化 脅威対策の策定 新たなる脅威に対する対応 § 効果的な運用 • ログ管理 • 脅威相関分析 • セキュリティデバイスの一元管理 パロアルトネットワークス vs. 他社のクラウドセキュリティ対策 パロアルトネットワークス 他 社 ファイアウォール(アプリケーション識別) ファイアウォール(ポートベース) IPS/ IDS Anti Virus 未知のマルウェア URLフィルタ Anti Spyware ボットネット感染端末検知 他製品/ 他社製品との組み合わせにより実現 • UTM機能によるPerformance劣化 (IPS/ IDS,Anti-‐Virus/ Spyware,URLフィルタ) • 個別制御(個別設定)による対応 • コスト増 • 運用負荷増 • 異なるログ管理 • 異なるポリシー/ オペレーション セキュリティプラットフォームという考えを… 次世代ファイアウォール § § § § 全てのアプリケーション通信を検査し,可視化 既知の脅威(脆弱性攻撃,情報漏洩,マルウェア等)をブロック 未知の脅威についてはクラウドに送信して分析,更に自動的にファイアウォールへフィードバック 仮想環境やモバイル環境に対しても同様のセキュリティを提供 脅威分析クラウドWildFire § 世界最大級のマルウェア分析クラウドサービス § 次世代ファイアウォールから送信された未知のファイルをクラウド上にあるサンドボックス環境で実行&分析し,未知の マルウェアを発見・防御するためのクラウドサービス § ユーザ環境で発見されたマルウェアに対して,シグネチャを自動生成し,一斉配信 TM WildFire グローバルで9,000社・30,000台以上が利用 検査されるファイル数: 一日当たり 約300万 / DAY 発見されるマルウェア: 一日当たり 約4万 / DAY ※WildFire サービスの利用にあたっては,利用する次世代ファイアウォール 上で追加のサブスクリプションが必要 エンドポイント防御:Traps エクスプロイト防御 ゼロディ脆弱性を含むエクスプロイトをブロック マルウェア防御 未知・既知を含む幅広いマルウェアをブロック フォレンジックデータの収集 攻撃を受けた際に分析に必要なデータを保存 シンプル、軽い、分かり易い エンタープライズ環境での利用・運用をベースに設計 ネットワークおよびクラウドとの連携 脅威情報を交換することにより統合的なセキュリティを実現 Traps Advanced Endpoint Protection セキュリティ対策構成例 SaaS IaaS/ PaaS • SaaSアプリケーション監視/ 管理 • リソースの保護 -‐ 内部感染のチェック -‐ 脆弱性防御 -‐ DoS対策 • トラフィック可視化によるアプリケーショ ンコントロール • リソースの保護 -‐ 内部感染のチェック -‐ 脆弱性防御 -‐ DoS対策 データセンタ VPN • 外部(データセンタ)との接続はVPNによる暗号化 • トラフィック可視化によるアプリケーションコントロール • DC内リソースの保護 -‐ 内部感染のチェック サーバ向けトラフィックの可視化 Webサーバ向けトラフィック Appサーバ向けトラフィック 利用状況の可視化 アプリケーション利用帯域の 可視化 サーバ利用率の可視化 トラフィックコントロール Web Queue 1 帯域:10Mbps Priority:Mid App Queue 2 帯域:100Mbps Priority:High DB Queue 3 帯域:N/A Priority:Low • 優先度を意識したトラフィックコントロール • 回線帯域の有効活用 SaaSアプリケーションの安全利用 § Aperture(国内2016年内リリース予定) § SaaSアプリケーションにAPIを介して接続 § ハッシュとEXEファイルをWildFireクラウドに送信 § キーワード,正規表現,業界標準のデータ分類子 (PCI,PII等)に基づいた詳細なコンテンツ検査 § 機械学習によるカスタムデータ分類 § ユーザ,collaborator,アクセス情報の抽出 § 脅威,データ,出現頻度に基づくリスクの計算と可視化 § 管理者による,エンドユーザ通知,検疫などの処理可能 APERTURE WILDFIRE B 6 ファイル共有 広告 Aperture § サポートするSaaSアプリケーションにMS Office365を追加 詳細なコンテンツ検査 および アナリティクス 17 | © 2 016, Palo Alto Networks. C onfidential and P roprietary. コンテキストによる データ公開の制御 機械学習による ファイルの分類 マルウェアの 検出&除去 Aperture は2016年年中に⽇日本市場でも提供開始予定 ログ情報の一例 § ログへ記録をすることで,ファイル(通信)のやりとりを可視化 § ユーザ,ファイル名,アプリケーション等を記録することで現状を把握し,インシデント対応等 が迅速に可能 ログに,ファイル名・ユーザ名・ アプリケーションが記録されること で情報漏洩発生時に追究が可能 ボットネット検知 ログの重要性 アプリケーション毎・ユーザ毎のトラフィック集計により被疑 の端末や問題のあるアプリケーションを制御 通信先国別表示により発生し得ないはずの国への通信を洗い出して 制御 ログの重要性 IPSのシグニチャマッチングのログから脅威の傾向を把握し, 対策につなげる 非標準ポートのログと,それを許可しているルールをリストし,リスクに応じて ルールの最適化を行う ログの重要性 ブロックコンテンツのログから,標的型攻撃の誘い 込みや,マルウェアダウンロードを確認し攻撃元の 特定につなげる セキュリティポリシーでのブロックログからルールの最適化の必要性を検討 セキュリティデバイスの管理 オペレータ毎の言語設定 セキュリティデバイスの集中管理 全ての環境のデバイスを一元管理 • • • アプライアンス VM セキュリティポリシーの統一 運用負荷とコストの削減 ログ,レポートの一元化 クラウド Appendix. パロアルトネットワークスのクラウドソリューション VMシリーズ for VMware VMシリーズ For VMware ESXi VMシリーズ For VMware NSX VMシリーズ For Citrix NetScaler SDX VMシリーズ for KVM § Linux ブリッジ,RedHat上のOpen vSwitchおよびUbuntu,CentOSをサポート § OpenStackプラグインによる自動化サポート Linux Bridge/OVS PCI-Pass through SR-IOV § システム要件 § 64bits Linuxディストリビューション § CentOS § RedHat Enterprise Linux(RHEL) § Ubuntu virtio e1000 IGB BNX2 IGBVF/IXGBVF BNX2 br0 KVM KVM KVM Linux Linux Linux AWSサポート § AWS上に展開するVirtual Private Cloud環境上にVMシリーズを展開可能 § VMシリーズは,AMI(Amazon Machine Image)で提供.EC2にインスタンスとして導入 § VMモニタリング機能の拡張により,VMシリーズはAmazon VPCおよびEC2インスタンスのIP アドレス情報を取得し,metadataをタグ付けしてセキュリティポリシーと連動可能 E1/1 Segment A E1/2 E1/2 router Segment B mgt E1/3 E1/3 router VMシリーズ強化(PANOS7.1より) § サポート環境としてMS Azure/ Hyper-Vを新たに追加 § 全てのクラウド環境で次世代ファイアウォールが利用可能 § AWSでは,Elastic Load Balancingを追加サポート Microsoft Azure Microsoft Azure パブリッククラウド プライベートクラウド