Comments
Description
Transcript
NetEnrich プレゼン資料 - 富士通ソーシアルサイエンスラボラトリ
NetEnrichによる 運用操作の監査記録 2009年10月 株式会社富士通ソーシアルサイエンスラボラトリ All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 こんなことで、お悩みではないですか? • 作業者が作業申請通りに、作業を行ったか を確認したい。 • 監査法人から管理者のサーバ操作記録に ついて、対策検討の指摘を受けた。 • 特権IDの使い回しが運用課題になっている が、既存環境は変更できない。 2 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 運用LAN環境のセキュリティ課題 ■ 一般的なシステムの例 証 ン 御 号化 スキ ャ ー認 /IPS ス 暗 S ザ セス制 ル ク 信 ID ー ア ウィ 通 ユ (商用ネットワーク) FW Web NAS Web LB Web FW LB AP DB AP DB SAN 運用LANセグメント 利用目的: ・ネットワーク監視 ・設定変更、パッチ適用 ・トラブル対応 ・コンテンツ登録 ・ログ管理、バックアップ操作 利用者: WAN WAN Router L2 ・システム管理者 ・コンテンツ管理者 ・オペレーター(バックアップ等) ・ベンダー技術者 L2 異常 L3 リモート拠点 からの操作 (運用LANセグメント) 監視センター 課題: 課題: 商用ネットワークではセキュリティ対策もしっかり行 商用ネットワークではセキュリティ対策もしっかり行 われているが、運用セグメント(いわゆる裏LAN)に われているが、運用セグメント(いわゆる裏LAN)に ついては、利用者権限分離、パスワード管理、アク ついては、利用者権限分離、パスワード管理、アク セス履歴管理、改ざん防御等がずさんになりがち。 セス履歴管理、改ざん防御等がずさんになりがち。 3 ・管理者アカウントの共通利用 ・管理者アカウントの共通利用 (本当の操作者の特定ができない) (本当の操作者の特定ができない) ・パスワードも変更されずに共有 ・パスワードも変更されずに共有 ・作業者のアクセス履歴管理が未徹徹底 ・作業者のアクセス履歴管理が未徹徹底 ・作業者の操作履歴が残されていない ・作業者の操作履歴が残されていない All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 セキュリティ課題と改善ポイント 課題 課題 改善ポイント 改善ポイント 運用者、ベンダー等による管理者アカ ウント/パスワードの共有が日常化 利用者ごとにアカウント/パスワードを 払い出し個々のアクセス記録を取得 各サーバへの 各サーバへの アクセス管理 アクセス管理 作業者による各サーバへのログイン 履歴管理がずさんで誰がアクセス したかわからない 利用者ごとのログイン/ログアウト履歴 を記録 操作履歴記録 操作履歴記録 作業者の実施した作業内容を把握 する手段がない CLI、GUI上での操作画面を動画ログ で全て記録 リモートから操作を行うためには VPN環境の構築が必要 SSL-VPNのイメージでアクセスが可能 作業者による 作業者による 持ち込みPC接続 持ち込みPC接続 ベンダー技術者等の持ち込みPCを 直接、運用LANに接続しての操作 ゲートウェイサーバを設置し、持ち込み PCの接続はオペレーター用LANのみ に制限 リモート運用 リモート運用 全ての作業をリモートで実施できる わけではない 電源投入、KVM操作、BIOSレベルの コンソール操作、CD-ROMのリモート マウントなど、他製品との連携が可能 アカウント/パスワード アカウント/パスワード 管理 管理 通信経路 通信経路 暗号化 暗号化 4 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 NetEnrichによる対策 運用操作専用の「ゲートウェイサーバ」を導入 リモート拠点からの 操作にも対応 (商用ネットワーク) 1 ゲートウェイサーバとして ここにNetEnrichを設置 2 WAN WAN FW Web NAS Web LB Web NetEnrichを経由しないと サーバにアクセスできない ようにネットワークで制御 FW LB AP DB AP DB SAN Router L2 NetEnrich (運用LANセグメント) L2 L2 L3 システム 管理者 ベンダー バックアップ 技術者 オペレータ 異常 (オペレーター接続セグメントを新設) 3 監視センター 操作記録は全て動画ログ として記録 ※操作記録の動画ログは外部NASに自動転送が可能です。 5 運用LANに直接接続させない 既存システム All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 操作画面の録画機能 運用者の操作画面をすべて動画で記録できます NetEnrich 操作 運用者PC 操作画面、作業履歴 を記録 6 サーバ ネットワーク機器 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 NetEnrichの特長 既存環境に手を加えず、運用者の 操作記録を取得できる製品です NetEnrich 操作画面録画機能を提供します ★RDP、VNC、KVM接続の操作画面をそのまま動画ログ保存(※1) ★ telnet、ssh、シリアル接続のターミナルセッションのログ記録・キーワード検索に対応(※1) ★サーバだけでなく、ネットワーク機器の設定作業証跡記録にも利用可能 ★外部ストレージを利用した、動画ログの長期保管に対応 短期間でログ監査システムを導入可能 ★既存サーバへのエージェントソフトのインストールは不要 (すぐに導入できる) ★オペレーターごとに操作を許可するサーバを制限可能 ★作業申請番号とヒモ付けて操作履歴の監査ができるよう仕組みが実装されている (※1) 本製品は画面に表示される内容をすべて記録するため、ログに含まれる内容のセキュリティ、プライバシーに関しては十分にご検討ください。 7 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 操作画面記録機能 • すべてのセッション (RDP、VNC、KVM、telnet、ssh、シリアル)の 録画が可能 • オペレーションの適正さや、エラーメッセージの確認にも利用可能 • 障害発生時の追跡用の情報として活用可能 • 担当変更による引継ぎに活用可能 1作業が1セッションとして記録されます 誰が 何に いつ 8 何をした All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 操作画面記録ログの管理(記録~保管) サーバ 運用者 サーバ NetEnrich ②自動アーカイブ機能により、指定された時間に 外部ストレージに移動されます。 ①まずは本体ディスクに記録されます 操作画面を そのまま動画 ログとして記録 本体ディスク 外部ストレージ NFS ③「再生」を押下で動画ログを再生できます 本体にあるログは「New」、外部ストレージにあるログ は「Permanently Archived」ステータスとして記録され ます。外部ストレージのログも本体のログと同様に再 生が可能です。 9 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 操作画面記録の効率的な監査 工夫① 監査ログサイズを小さくするための工夫 • • 工夫② 差分のみ記録することでファイルサイズを抑制 専用フォーマットを用い高圧縮率を実現 監査に要する時間を短縮するための工夫 • • • • 時系列、キーワードによるログの検索 動きの大きな部分を波形化して表示 ブランクスキップ機能で非動作画面をスキップし効率的に再生 2倍速~16倍速再生にて監査時間を短縮業務を効率化 差分あり 差分なし 動きのある部分を検出し波形表示(ヒストグラフ) (例)管理者Aが行った10分間の操作 10 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 telnet/ssh/シリアル操作の記録・検索 装置、ユーザー、時間帯、キーワード を指定し検索が可能 キーワード 「root」を含む ログを抽出 参照ボタンを押すとコンソール操作画面 のイメージがそのまま表示できます 11 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 操作確認のワークフローを意識した実装 ①NetEnrich経由で、その先のサーバに接続する際に「作業申請番号」や「作業内容」を入力させる運用が可能です。 リモート操作 ②監査者は、「作業申請番号」や「作業内容」などのキーワードや作業日時から操作ログを検索し監査できます。 装置、ユーザー、時間帯、キー ワードを指定し検索が可能 キーワードに 作業申請番号 「2007-10-12-03」 を含む録画ログを 抽出 12 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 ロールベースのアクセス制御と認証 • 役割(ロール)により管理対象機器に対するアクセス制御を きめ細かく行うことが可能 • 認証方法を選択可能 – ユーザーIDとパスワードによるローカル認証 – LDAP、RADIUS連携も可能 役割⇔機器 ユーザー⇔役割 ユーザー 姓 名 メール アドレス 役割 ○○ ・・・ ・・・ [email protected] システム 管理者 △△ ・・・ ・・・ [email protected] 企業A ヒモ付け 役割 スイッチ1 スイッチ2 ルータ FW(現用) システム 管理者 操作 参照 操作 参照 操作 参照 操作 参照 企業A 操作 参照 操作 参照 ×× ・・・ ・・・ [email protected] 企業C 企業B ** ・・・ ・・・ [email protected] 監査者 企業C □□ ・・・ ・・・ [email protected] 企業C 監査者 13 操作 参照 操作 参照 参照 参照 参照 参照 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 NetEnrichの共有ID管理 NetEnrichを導入することで、共用アカウントを使用している環境でも、運用者一人一人が判別可能な 証跡を取得することが可能です。 全員がAdministratorアカウントで ログインするため、区別がつかない NetEnrich導入前 サーバ 運用者 Administrator Administrator Administrator Administrator NetEnrich導入後 NetEnrich ここで証跡を取ることにより、 ユーザーの識別が可能 運用者 yamada yamada Administrator suzuki suzuki Administrator tanaka tanaka Administrator yamamoto yamamoto Administrator 14 Administrator サーバへの 変更は不要 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 一時貸出IDの払い出し(オプション) [運用要件] ・アプリ障害調査のために開発者に一時的に特権IDを払い出す必要がある。 ・一時的な特権IDの払い出しには管理者の承認が必要な仕組みにしたい。 ・貸出IDは指定期間のみアクセス可能とし、回収の手間をなくしたい。 NetEnrichではアカウントを持たない利用者に対して、チケットを発行し、定めら れた時間帯のみ機器へのアクセスを許可するよう設定することができます。 チケット発行にあたっては、必ず承認というプロセスが必要になります。 [チケット発行の手順] ① 操作の依頼(チケットの発行) ② 承認者による承認(チケットの開始) ③ 許可されたユーザーによる操作が可能に 15 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 一時貸出IDの払い出し(画面イメージ) [チケット発行手順] ①ID借用申請 ID借用 ID借用 申請書 申請書 ・・・・・・・ ・・・・・・・ ・・・・・・・ ・・・・・・・ ・・ ・・ チケット発行 ②作業チケットの発行 (利用者、対象サーバ、作業内容、 IDの有効期限などの情報を設定) ③チケットの承認 ④承認後、指定ユーザーは 定めたれた期間での アクセスが可能 チケット承認 16 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 一時貸出ID運用イメージ 1 3 これまでIDを共有していた運用者に対し、 1ユーザー=1アカウントを払い出す 共有IDでサーバにアクセスした 接続履歴を運用者名で記録する 運用者 yamada suzuki tanaka 一時利用者 sato (借用ID) ログイン履歴 チケット 発行 ID借用 申請書 一時利用者には 借用IDを払い出す Login Time Server ・・・ yamada 2009/1/20 20:10:15 10.1.2.30 ・・・ sato 2009/1/20 20:05:53 10.1.2.50 ・・・ suzuki 2009/1/20 19:55:23 10.1.2.31 ・・・ Administrator チケット 承認 RDP 作業申請の有無 業務サーバ(Win) 管理アカウント一覧 root パスワード変更実績 承認者 telnet/ssh レポート 出力 チケット 2 User 管理者 業務サーバ(UNIX) 4 管理ID一覧やパス ワード変更履歴など のレポートを出力し、 IDを管理 17 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 アプリケーション操作の記録 ブラウザや各種アプリケーションの操作など、NetEnrichで対応していないプロトコルで操作する場合でも Windowsターミナルサーバでアプリケーションを操作することで証跡を取得可能です。 • NetEnrich導入前 アプリケーション クライアント NetEnrich対応プロトコル (Windowsリモートデスクトップ、VNC、telnet、ssh) 以外のアプリケーション通信 運用者PC サーバ • NetEnrich導入後 運用者PC Windows リモートデスクトップ アプリケーション クライアント アプリケーション通信 Windows ターミナルサーバ NetEnrich サーバ ターミナルサーバ上での アプリケーション操作を録画 18 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 KVM操作の記録(他製品連携) NetEnrichとサードベンダーのIP‐KVM装置と組み合わせることで、 リモートKVM操作の証跡を取得することが可能です。 動作連携確認済みIP‐KVM装置 富士通コンポーネント社製IP‐KVM装置「FX‐7001NP‐C」 オフィス データセンター Internet 公開セグメント オフィスから の操作証跡を記録 サーバ KVM操作 証跡記録 システム 管理者 NetEnrich WAN 19 仮想メディア FX‐7001NP‐C 管理セグメント All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 NetEnrich製品概要 最大接続数に応じて2つのモデルを提供 NetEnrich IT マネジメントゲートウェイ 最大管理 対象機器数 最大同時 セッション数 HA構成 MG5000 300 20 不可 MG10000 1200 40 可 モデル MG5000, MG10000 セキュリティパッチ適用の必要がない専用OS搭載アプライアンスとして提供いたします。 登録デバイスをライセンス追加により1200まで拡張可能です。 管理対象サーバはツリー形式で登録可能です。 ローカルハードディスクに操作記録をする場合は 約200GBまで使用可能です。 長期間の保存をされる場合は外部ストレージ(NFS)との連携をご検討ください。 20 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 事例:海外データセンターでの構成例 運用のアウトソーシングが進む海外ではデータセンターのサービスセグメント内の 運用のアウトソーシングが進む海外ではデータセンターのサービスセグメント内の 装置に一切触れずにリモートから運用を行うことが一般化しています。 装置に一切触れずにリモートから運用を行うことが一般化しています。 海外での運用セグメント構成例 ケージ内の重要インフラは常時施錠 ケージ内の重要インフラは常時施錠 全ての運用作業は外部から実施 保守業務を海外(インド等)の業者が請け負うケースも 重要インフラはデータセンター内のケージに格納 NetEnrichはケージ内に格納 ログ監査部門 WAN WAN ログ監査部門にて操作履歴、アクセス履歴を 監査し、不正な行為がないことを確認 リモート保守拠点からはNetEnrichを介して サーバをメンテナンスする 監視センター 保守業者 21 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 導入事例 • データセンター(Fグループ) – リモートメンテナンス – 作業ログの記録 • 製造業サポートセンター – サポートセンター業務の証跡記録 内部統制対策 監査法人の指摘事項への対応 として導入 • 文部科学省 – 管理者の操作ログ記録 • 金融機関 – 管理者、開発者の操作ログ記録 – リモートメンテナンス 22 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 監査証跡のフェーズ別対策 まずはログ記録! 短期間である程度の 効果が求められる。 操作ログ記録~アクセス制御~監査レポート生成まで フェーズ1 (1~3ヶ月) フェーズ2 (3~6ヶ月) フェーズ3 (6ヶ月以上) 小 証跡記録 初期 コスト・ 導入期間 アクセス制御 SHieldWARE 権限分離 大 セキュリティインシ デント分析・管理 23 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 お問い合わせ 株式会社 富士通ソーシアルサイエンスラボラトリ (富士通SSL) http://www.ssl.fujitsu.com E-mail:[email protected] TEL:044-739-1251 Ver.9.10.6 24 All Rights Reserved, Copyright (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009 25 AllCopyright Rights Reserved, Copyright FUJITSU SSL Ltd. 2009 All Rights Reserved, (C) 株式会社富士通ソーシアルサイエンスラボラトリ 2009