Comments
Description
Transcript
信頼できないWEB環境におけるWeb アプリケーション
セキュリティを ビジネスの力に ProxySG Webアプリケーションリバースプロキシー Webベースのソリューションは、ビジネス業務のほぼすべての側面において導入されており、パブリックWebアクセスや信頼 できない環境内において攻撃にさらされる機会がますます増えています。その結果、セキュリティ懸念の拡大、パフォーマン スの低下、複雑さの増大といった問題が、既存のWebサーバーインフラに重くのしかかります。Webサーバーは、マルウェア 配信ネットワークの主要な発生源として、マルウェアをホストし、ユーザー、リソース、評判を危険にさらすケースも増えていま す。プライバシーに関する懸念の増大は、SSLの利用や、ユーザーの識別または完全認証の増加につながっており、Webイ ンフラに対する新しいニーズを生成しています。信頼できない環境にあるパブリックWebアプリケーションを保護して高速化 するために、組織はWebアプリケーションリバースプロキシーによる保護をブルーコートに求めます。 Webアプリケーションリバースプロキシーの導入にProxySGが適し ている理由 Blue Coat ProxySGプロキシーアプライアンスは、堅牢なセキュリティ、高いパフォ ーマンスでのコンテンツ配信、シンプルな運用性を兼ね備え、組織による信頼済み ユーザーと一般ユーザーに対するパブリックWebアプリケーションのセキュリティ保 護と高速化を可能にします。 Web Application Reverse Proxy for Trusted Web Environments © BLUE COAT SYSTEMS, INC ホワイトペーパー 信頼できないWeb環境におけるWeb アプリケーションリバースプロキシー Webサーバーの保護 – ProxySGは、Webアプリケーションと、それらへのアクセ スを試みる社外クライアントとの間を仲介する役割を担うことで、汎用サーバーへ の直接アクセスを確実に遮断します。ProxySGは、Webサーバーに対する包括 的な保護を実現します。これには、PCI(Payment Card Industry)コンプライアン ス、SQL(Structured Query Language)挿入保護、XSS(クロスサイトスクリプティ ング)保護、CSRF(クロスサイトリクエストフォージェリ)保護などが含まれます。ま た、ProxySGは堅牢な認証とポリシーをサポートし、ユーザーに入力を求めるか、 または、組織の既存のセキュリティフレームワークを使用して認証情報を透過的 に確認することができます。Webサーバーにアップロードされるすべてのコンテン ツを、高性能かつ低遅延でWeb脅威から保護するために、ProxySGはBlue Coat ProxyAV™と連携し、また、5つの主要なアンチマルウェアエンジンが選択できま す。DLP(Data Loss Protection)ソリューションの統合により、コンテンツ認識型の フィンガープリント機能と、機密情報、専有情報、顧客情報に対するデータ損失検出 の両方を実現します。機密性を保証するために、ユーザーとWebアプリケーション 間の通信をSSL(Secure Sockets Layer)を使用して暗号化するようにProxySGを 設定することも可能です。 Webコンテンツの高速化 – ProxySGソリューションの中心にあるのは、セキュアな オブジェクトベースのオペレーティングシステムであるSGOSです。SGOSは、Web コンテンツとリッチメディアに対応するために特別に設計されています。SGOSは、特 許取得済みのプロキシーキャッシング技術に最適化されたTCPスタックを組み合わ せて、Webコンテンツを効率的に高速化します。SGOSは内蔵キャッシュをインテリ ジェントに利用して、アプリケーションのWebオブジェクトの60~90%をキャッシュし、 ユーザーに直接提供することで、サイトのパフォーマンスとスケーラビリティをさらに 向上させると同時に、Webサーバーの負荷を軽減します。リッチメディアに対するサ ポートとしては、ストリーム分割やビデオオンデマンドキャッシングに加えて、すべて のプロキシーサービスに対する帯域幅制御があります。また、SSLサービスは、ハー ドウェアアクセラレーションによるキー交渉、暗号化、復号化をサポートします。 シンプルな運用性 – プロキシーソフトウェアとハードウェアを組み合わせて最適化し た統合型アプライアンスであるProxySGは、簡単に導入、設定、メンテナンスできま す。Visual Policy Manager(VPM)は、広範囲にわたるポリシールールを定義し管 理するための直感的なグラフィカルインターフェイスを提供します。Content Policy Language(CPL)は、アプリケーションを攻撃から保護するための高度なポリシー制 御を可能にします。包括的なログ記録とレポート機能によって、詳細なアカウンティ ング情報が得られるため、管理者はWeb使用パターンを評価し、セキュリティ問題 を追跡するために必要な可視化が可能であるとともに、規制やポリシーを遵守する ことができます。 ProxySG Webアプリケーションリバースプロキシーは、以下の機能を組織に提供し ます。 ●● 統合キャッシング、ストリーム分割、帯域幅制御、インバウンドおよびアウトバウ ンドWebコンテンツの脅威分析、柔軟なポリシー言語に加えて、他に例を見ない ユーザー認証オプションを備えるプロキシーアーキテクチャによって、Webアプリ ケーションとコンテンツの配信を高速化します。 1 ホワイトペーパー セキュリティを ビジネスの力に ●● オ リ ジ ン サ ー バ ー を 直 接 的 な イ ン タ ー ネ ッ ト ア ク セ ス か ら 切 り 離 し 、 ユ ー ザ ー 認 証 、 SSLト ン ネ ル 、 Webコ ン テ ン ツ の 最 適 化 を オ フ ロ ー ド し て Webフ ァ ー ム を ス ケ ー リ ン グ す る こ と で 、 Webイ ン フ ラ ス ト ラ ク チ ャ を 保 護 し ま す 。 ま た、HTTP、HTTPS、TCP、ICAP、ICMPの健全性をチェックして、Webコンテンツ サーバーとプロキシー関連デバイスを監視し、管理者にアラートを送信します。こ れには、サーバーとクライアントからのHTTP/HTMLプロトコルに対する厳格な検 証が含まれます。アラートは、電子メール、syslog、SNMPによって提供されます。 ●● SSL終端/始端ポイントとして機能することで、Webアプリケーションに対するユ ーザーアクセスを保護します。これによって、ProxySGをWebサーバーへの再暗 号化付きSSL終端ポイントとして、または、MITM(中間者)設定で使用することが できます。ProxySGは、サーバー側とクライアント側の両方の証明書をサポート し、Webサービスの暗号化&復号化と、デジタルシグニチャ検証を提供します。キ ー管理とフェイルオーバー処理も提供されています。 ●● リバースプロキシーソリューションを、透過的または非透過的にWebアプリケーシ ョンリバースプロキシーとして実装します。ProxySG Webアプリケーションリバー スプロキシーは、オープンリレーサーバー保護ポリシーを提供します。ProxySG はIPv6プロキシーゲートウェイでもあり、IPv6からIPv4、IPv4からIPv6への通 信をサポートします。新しいメディアNOCはIPv6へと移行しており、ProxySGは IPv6とIPv4の両方のパブリックオーディエンスに対応することができます。 ●● HTTPにおける圧縮をサポートして、Webユーザーエクスペリエンスを向上しま す。ProxySGはアプライアンス上のコンテンツを圧縮または解凍し、レスポンス を多様な形式でキャッシュすることができます。たとえば、非圧縮形式で取得した コンテンツを、圧縮形式でクライアントに配信することが可能です。コンテンツが キャッシュ可能である場合は、圧縮形式と非圧縮形式の両方をその後の使用に 向けてProxySG上に保存できます。サポートされる圧縮形式はGzipとdeflateで す。同様に、圧縮コンテンツを提供するWebサーバーから取得したコンテンツを、 圧縮コンテンツに対応していないクライアントのためにProxySG上で解凍するこ とができます。 Web Application Reverse Proxy for Trusted Web Environments © BLUE COAT SYSTEMS, INC ●● 独自のビジネス要件に対応するために、ユーザー、グループ、時刻、場所、ネット ワークアドレス、ユーザーエージェントなどの属性に基づくきめ細かいアクセスポ リシーを実装します。ProxySGは、500を超えるヘッダーリクエストおよびレスポ ンス変数にアクセスし、40を超えるトリガーを利用して、高度なポリシー制御を実 現します。ProxySGはポリシー制御によって、Webリクエストとレスポンスの中の コンテンツのフィルタリング、除去、置換を行います。 ●● ポリシールールごとのログ記録と、例外のログ記録を行います。これは、信頼で きないネットワーク環境における未知のユーザーエージェントと数値ホストの検出 に非常に有効な機能です。ポリシーの作成時に否定のオプションを使用すること によって、エレメントが信頼済み環境の承認済みリストに含まれない場合にポリ シールールに対するログ記録を行うことができます。Webアプリケーションリバー スプロキシーとして、これによって既に存在するブロックするポリシー制御に加え て、許可するポリシー制御を提供します。ProxySGの柔軟なポリシー設定は、ポ ジティブセキュリティモデル(黙示的にすべてをブロックしつつ、許可リストのトラフ ィックのみを通過させる)と、ネガティブセキュリティモデル(すべてを許可しつつ、 ブロックリストのトラフィックのみを禁止する)のどちらにも対応し、また、両者を組 み合わせてカスタマイズしたポリシーモデルにも対応します。またProxySGは、カ スタムログ記録もサポートします。グラフィカルポリシーマネージャー内のフィール ド選択、カスタムテキスト、形式によって、カスタムログをポイントアンドクリックで 選択できます。 ●● ファイルの種類とファイル拡張子を制御し、なりすましファイルに対して実際のフ ァイル種類を確認します。アクティブコンテンツ(Java、Visual Basic、ActiveX)の 除去と置換、情報のアップロードの制限も可能です。また、ユーザーエージェント の種類とバージョンを指定して、クライアントソフトウェア、ヘッダー検査、書き換 え、抑制を制御します。HTTP、HTTPS、FTPに対するメソッドレベルの制御も行 います。ProxySGは、一般的な正規表現処理よりも柔軟なポリシーをヘッダー要 素に適用してパフォーマンスを高めることができ、必要に応じてURLのフルパー ジングが可能です。 ●● Active Directory(NTLM、Kerberos、LDAP、SSO)、eDirectory(LDAP、SSO)、ト ークン(SecurID、Safeword)、認証機構(Oracle COREid、CA Siteminder、x.509 証明書、ローカルパスワードファイル)、認証情報サポート(NTLM、Basic、HTTPS Basic、HTMLフォーム、HTTPS HTMLフォーム、明示的なプロキシー認証ポップ アップフォーム)といった既存のセキュリティフレームワークを用いてクライアントを 認証し、ユーザーをトラフィック(IPアドレス、クッキー、ドメインサーバーとの確認 (SSO))と、サポートされている認証プロトコル(LDAP、RADIUS、XMLインターフ ェイス、認証領域のシーケンス、認証できなかったユーザーのGuestへの割り当 て)にマッピングします。 ●● ユーザー認証情報をシステム内にキャッシュします。企業と信頼できない環境の セキュリティ要件に応じて、認証情報を設定された任意の期間保存するか、また は使用後直ちに消去するように認証情報キャッシュを設定できます。 ●● アップロードまたはダウンロードされるすべてのコンテンツに対してリアルタイ ムにアンチマルウェア分析を行うことによって、Webインフラをマルウェア、ワ ーム、トロイの木馬から保護します。ProxyAVは、ICAP+またはS-ICAPを介し てProxySGと統合し、デュアルインテリジェントキャッシュ設計を利用して脅威 に対するコンテンツ分析を最適化します。キャッシュ可能なオブジェクトは1度 2 ホワイトペーパー セキュリティを ビジネスの力に 分析してから提供され、その後のユーザー要求に備えてキャッシュされます。 アンチマルウェア分析エンジンがアップデートされた場合は、ユーザー要求に 基づいてキャッシュ済みオブジェクトに対する新しい脅威分析サイクルが通知 され、オブジェクトキャッシュが消去されることはありません。キャッシュできな いオブジェクトは、クリーンであればフィンガープリントを付加してから提供し、 同じフィンガープリントで再度遭遇した場合は、直接ユーザーに提供すること によってWebエクスペリエンスを高速化します。アンチマルウェアエンジンがア ップデートされた場合、キャッシュできないオブジェクト用のフィンガープリント キャッシュは更新されます。ProxyAVは、6つの主要なアンチマルウェアエンジン (Kaspersky、McAfee、Sophos、Symantec、Panda、Trend Micro)をサポート し、最大で99階層の圧縮が適用された2GBまでのサイズのファイルを分析しま す。ProxyAVは、KasperskyまたはSophosのアンチマルウェアエンジンを使用す る場合、圧縮アーカイブ内のなりすましファイルを検出することもできます。 ●● コンプライアンスに向けてDLP(Data Loss Protection)を統合し、機密情報に対 するコンテンツ認識型のフィンガープリント機能、または、キーワード、レキシコ ン、正規表現、チェックサム付きのパターン、ファイルメタデータ、統計分析によっ て、情報漏えいを防止します。ブール論理によって、コンプライアンスや規制に対 して有効な手法を組み合わせることもできます。消費者とそのプライバシー権を 保護するために、規制は引き続き増加しています。 ●● SQL挿入、XSS(クロスサイトスクリプティング)、CSRF(クロスサイトリクエス トフォージェリ)に対する保護を実現する高度なポリシー制御が可能です。また ProxySGは、SSL証明書の完全な隔離、バッファオーバーフロー攻撃からの保 護、プロトコルコンプライアンスのチェック、DoS攻撃からの保護も提供します。 Web Application Reverse Proxy for Trusted Web Environments © BLUE COAT SYSTEMS, INC ●● Blue Coat WebPulse™による連携型防御機能を提供して、Webアプリケーショ ンリバースプロキシーとしてのProxySGによって保護されたWebサーバーからの マルウェアのダウンロードや悪意のあるコールホームトラフィックを検出します。ブ ルーコートのラボは、7,500万を超えるユーザーの協力によって得た情報を利用し て、MDN(マルウェア配信ネットワーク)を追跡し、Webサーバーが悪質な活動に 従事している場合や、マルウェア配信インフラをホスティングしている場合にすべ ての関与を遮断します。ProxyAVが、インバウンドおよびアウトバウンドのコンテ ンツに特定の脅威が潜んでいないか確認する一方で、WebPulseは、MDN内の Webの相関関係、トラフィックパターン、配信手法を調査します。あらゆる防御によ ってWebサーバーを保護するとともに、MDNと、Webサーバーが関与しているか どうか、いつ関与するかを追跡することによって、保護機能をさらに強化します。 ●● 高 性 能 ス ト リ ー ミ ン グ メ デ ィ ア を 、 ス ト リ ー ミ ン グ プ ロ キ シ ー に よ っ て 数 千 も のユーザーに同時に配信します。ProxySGはストリーム分割をサポート し、RTMP、RTSP、MMSに加えてHTMLv5を使用するリッチメディアサーバー上 の負荷を軽減します。また、ビデオオンデマンドのキャッシングによって、Flash を含むRTMPやHTMLオブジェクトなどを対象に、1対多の効果を実現します。今 日、ユーザーはリッチメディアエクスペリエンスを期待しており、ProxySGはリッチ メディアコンテンツサーバーの負荷を軽減して、サーバーファームの規模を調整 し、ユーザーエクスペリエンスを向上させることができます。 ●● Blue Coat Reporterを使用して可視化を行い、複数のProxySGデバイスからの ログファイルを集計します。これによって、Webアプリケーションリバースプロキ シーの使用状況、ProxyAVからの脅威検出、ユーザー/グループプロファイル分 析、ストリーミングと動画の使用状況、拒否されたアクセス試行、カスタムログ記 録の可視化とトレンド分析を行うことができます。Reporterは、Active Directory の継承、カスタムダッシュボード、レポーティングユーザーごとのレポートによって 役割ベースのアクセスを提供し、標準レポートとカスタムレポートの両方を定期的 にスケジュールして配信する機能を提供します。 ●● Webサーバーのトラフィックを軽減することで、制御、保護、パフォーマンスを強 化しつつ、インフラコストを削減します。 IT管理者はProxySGアプライアンスをWebアプリケーションリバースプロキシーとし て使用することにより、コンテンツの高速化、圧縮、DoS(Denial of Service)攻撃か らの保護、オプションで利用可能なストリーム分割やキャッシングといった高度な機 能を活用して、トラフィックの増減に応じてWebファームを効率的にスケーリングで きます。また、ProxySGを使用すれば、Webアプリケーションをフロントエンドにする ことによって、スケーラブルでセキュアなWebポータルを実装することも可能です。 さらなるセキュリティが必要な場合は、ProxySGによってWebアプリケーションとユ ーザーの間のSSL暗号化セッションを開始および終了することができます。これに よって組織は、データストリームの両サイドにおいて認証やメッセージレビューといっ たアクションを保護できます。 特定のキオスクやワークステーションにアクセスするユーザーが、前のユーザーの アカウントにアクセスできないようにするために、キャッシュされた認証クッキーを削 除するようにProxySGを設定することができます。また、さらなる保護を実現するた めに、アクティビティがないまま指定された時間が経過した場合に自動的にタイムア ウトするようにProxySG Webアプリケーションリバースプロキシーを設定できます。 これによって管理者は、パブリックネットワークからのセキュアなアクセスを強化でき ます。Blue Coat ProxySGは、Webアプリケーションを保護し高速化するための、 主要なプロキシーアプライアンスです。ProxySG Webアプリケーションリバースプロ キシーは、堅牢なWebサーバー保護と高速化されたWebコンテンツ配信を、スケー ラブルな集中型のプロキシーアーキテクチャに統合し、ネットワークパフォーマンス を大幅に改善するとともに、シンプルな運用性を提供します。 3 ホワイトペーパー セキュリティを ビジネスの力に 主要な機能と利点 Webサーバーの保護 ●● 汎用サーバーへの直接アクセスを確実に遮断します。 ●● Webコンテンツに対応して特別に設計されたセキュアなオブジェクトベースのオ ペレーティングシステムであるSGOSを基盤とします。ProxySGは、FIPS 140-2 とCommon Criteria EAL2の認定を取得済みです(SGOSの3つのメジャーバー ジョン)。 ●● 堅牢な認証とポリシールールによってユーザーアクセスを制御します。 ●● インテリジェントなOSによって、DoS攻撃に対処しつつ、正規ユーザーにサービ スを提供するために正当な接続と悪意のある接続を区別します。 ●● コンテンツのインラインスキャンが可能で、アンチマルウェア、DLP、悪意のある Webトラフィックに対する防御が統合されています。 Webコンテンツの高速化 ●● 最適化されたTCPスタックによって、大量の静的および動的なWebコンテンツを 迅速に提供します。 ●● インテリジェントなキャッシュによって、アプリケーションのWebコンテンツの60 ~90%をキャッシュし、ユーザーに直接提供します。 ●● HTTP圧縮によって必要帯域幅を削減し、CPUリソースを節約し、既に圧縮済み のページを高速に提供します。 ●● キー交渉に対し、ハードウェアアクセラレーションによるSSL処理を適用します。 ●● ストリーミングプロキシーは、ストリーム分割と、ビデオオンデマンドのキャッシン グを行い、高性能なストリームを数千ものユーザーに同時に配信します。 シンプルな運用性 ●● 「一度設定するだけでOK」なプロキシーアプライアンスを、簡単に導入して管理 できます。 Web Application Reverse Proxy for Trusted Web Environments © ●● ProxySGをクラスタリングし、ロードバランサーによって高可用性に向けて構成す ることができます。 ●● 直感的なグラフィカルインターフェイスによって、ポリシールールを簡単に作成し 管理できます。 ●● 包括的なログ記録とレポート機能によって、Web使用パターンやセキュリティ問 題を可視化します。 ●● ITインフラの負荷を軽減することで、制御、保護、パフォーマンスを強化しつつ、イ ンフラコストを削減します。 まとめ 信頼できないWeb環境に対し、ProxySG Webアプリケーションリバースプロキシー は、多様な認証オプションを備え、SSLのオフロードに加えて、オブジェクトキャッシ ングとリッチメディア最適化の両方によるWebアプリケーションのスケーリングを実 現します。タブレットやスマートフォンに移行して未知のネットワークからアクセスす る場合でも、企業のオフィスにあるいつものデスクトップからアクセスする場合でも、 ユーザーは遅延のない高速なWebエクスペリエンスと、オンデマンドでWebコンテン ツやリッチメディアが利用できることを期待します。仮想化によって、これまでにない コストや規模でデータセンターが実現できるとはいえ、従来のWebサーバーファー ムと仮想化サーバーファームの両方を最適化してスケールアウトできることが、パ ブリック向けのWebサービスに対するWebアプリケーションリバースプロキシーのメ リットであることに変わりはありません。 コンプライアンスとプライバシーに対する懸念からSSLの利用が引き続き増加する につれ、ProxySGはSSLパフォーマンスをスケールアウトして、Webサーバーイン フラの負荷を軽減します。ProxySG Webアプリケーションリバースプロキシーは、 セキュアな独自OSを採用して、より安全な環境を確保し、オリジンWebサーバーを ネットワーク内部で確実に保護して、損害を排除します。統合されたAV、DLP、悪意 のあるWebトラフィック分析と、高度なポリシー制御によって、アプリケーションやブ ラウザの攻撃を阻止するProxySGは、独特で価値の高いWebアプリケーションリバ ースプロキシーソリューションを実現します。 ●● 統合型アプライアンスであることから、アプリケーションやOSパッチのインストー ルは不要です。 ●● スケーラブルなソリューションによって、必要なWebサーバー台数を削減します。 BLUE COAT SYSTEMS, INC 4 ホワイトペーパー セキュリティを ビジネスの力に Blue Coat Systems Inc. www.bluecoat.com ブルーコートシステムズ合同会社 www.bluecoat.co.jp 03-6251-9111 © 2013 Blue Coat Systems, Inc.All rights reserved.ブルーコートシステムズから 書面による同意を得ることなしに、このドキュメントの一部または全部を何らかの方 法で複製することや、電子メディアに変換することを禁じます。このドキュメントに記 載した情報は、発行日の時点で正確であり信頼できると判断したものですが、ブル ーコートはこれを確約するものではありません。また、ブルーコートは発行日以降に 提示されるいかなる情報の正確性も保証いたしません。このドキュメントは情報提 供のみを目的としています。ブルーコートは、このドキュメントに記載した情報につい て一切の明示的、暗黙的、または法的な保証をいたしません。このドキュメントに記 載した情報は、米国向けに提供される製品とサービスに適用されます。ブルーコー トは、このドキュメントに記載した製品、サービス、または機能を他の国に提供しな い場合があります。ご利用になれる製品とサービスについては、国内のブルーコー ト販売代理店にお問い合わせください。このドキュメントに記載したブルーコートの 製品、技術サービス、その他の技術データは、米国の輸出規制と制裁規定、法令と 要件の適用対象です。また、それ以外の国の輸出/輸入規制の適用対象となる場 合があります。ユーザーは、これらの法律、法令、要件を厳格に遵守することに同 意し、ブルーコートからの提供物の輸出、再輸出、国内での移譲、または輸入を行 うために必要とされる場合はライセンス、許可、またはその他の承認を得る責務を 負うことに同意するものとします。ブルーコートは、このドキュメントに記載した対象 物に特許を保有する場合または特許を出願中の場合があります。このドキュメント の提供によって、これらの特許のライセンスが与えられるものではありません。Blue Coat、ProxySG、PacketShaper、CacheFlow、IntelligenceCenter、BlueTouch は、Blue Coat Systems, Inc.の米国およびその他の国の登録商標です。このドキュ メントで言及するすべての商標は、それぞれの所有者のものです。 v.WP-WARP-UNTRUSTED-WEB-ENVIRONMENTS-A4-EN-v3a-0513 5