Comments
Description
Transcript
常時SSL化への対策 F5 BIG-IPによるSSL可視化ソリューション
常時SSL化への対策 F5 BIG-IPによるSSL可視化ソリューション F5ネットワークスジャパン合同会社 2015年11月 1 セキュリティ対策とはリスク管理 リスク = 脅威 × 脆弱性 × 情報資産 脅威 情報資産を脅かす行為 サイバー攻撃 DDoS攻撃 不正なログイン SQLインジェクション ホームページの改竄 脆弱性 システム上の問題点・瑕疵 脆弱性のあるソフトウェア OS ミドルウェア、RDB アプリケーション 設定ミス 悪用 © F5 Networks, Inc 情報資産 様々な知財 ID情報、顧客情報 事業を支えるシステム 踏み台になることによる第 三者への影響 剥奪 2 2 脅威から守るために ・サーバファームを守る IDS/IPS 脆弱性に対する攻撃、脅威を防御するための 代表的な手段/ソリューション 脅威 情報資産を脅かす行為 サイバー攻撃 DDoS攻撃 不正なログイン SQLインジェクション ホームページの改竄 OS、ミドルウェア、メールなどの脆弱性に対する攻撃を パターンマッチングで検出、防御 WAF(Web Application Firewall) Webアプリケーションに特化し、様々な手法で脆弱性に 対する攻撃を検出、防御 ・クライアントPCが起因する攻撃から守る 次世代ファイアウォール 社員の利用するアプリケーションを可視化し、アクセスの 許可/不許可などの制御を行い、様々な脅威から防御 URLフィルタリング/Secure Web Gateway 不正なサイトへのアクセス、リダイレクトをブロックし、 マルウェア等に感染したPCから悪意あるWebサイトへの 通信を検知・遮断し、脅威から防御 © F5 Networks, Inc 3 3 企業におけるセキュリティ対策 コンシューマー/ユーザー インターネット上のサイト アプリケーション インターネット サーバファームへの攻撃から守る クライアントPCが起因する 攻撃から守る 企業ネットワーク 次世代FW URLフィルタリング FW Webサーバ IPS WAF サーバ ロードバランサ データセンター / DMZ © F5 Networks, Inc 4 4 SSL化は年間30%で拡大 3.5 3 2.5 2 プライバ シー ニーズ Eコマース化による 需要拡大 モバイル デバイス の増加 Snowden Effect 1.5 1 0.5 0 1998 2002 2006 2010 2014 Netcraft社のSSL Surveyを基にF5 Networksで作成 縦軸: SSL証明書の発行件数(単位:10K) © F5 Networks, Inc 5 5 暗号化トラフィックが増加 変化への対応 • インサイダーの脅威 • 規制とコンプライアンス • 進化し続ける暗号化方式 • 全ての端末がネットワークに 接続 SSLが必要とされ次世代プロトコル • HTTP 2.0 • SPDY • TLS 1.3 暗号化トラフィックの増加 20-30 成長率/年 % TODAY 25% 2017 50% • SSLの利用率は年度毎に20~30%成長 • SSLは急速に変化… 新しい標準化、異なるブラウザ設定、複雑化 © F5 Networks, Inc 6 6 SSL暗号化通信が「攻撃の隠れみの」になっている 暗号化されたトラフィックに潜む「見えない脅威」 HTTPS暗号化トラフィック(SSL/TSL) 機密情報 情報資産 インターネット SSLトラフィックは 次世代FWによる HTTPSを利用した 復号化しない限り SSL復号化は 攻撃の80%が 標的型対策製品/ パフォーマンスの 検出を逃れている IPS/WAFで検疫できない 大幅な低下を招く © F5 Networks, Inc 7 7 トラフィック暗号化による課題 • 企業ネットワーク内における暗号化トラフィックの増加 多くのWebサービスやクラウドアプリケーションではTLS/SSLを使用して、クライアントとの セッションのセキュリティを確保しています。 • 新しい暗号化形式、SSL鍵長による著しいパフォーマンス劣化(2048ビットは 1024ビットと比較して6.3倍の処理能力が必要 • 暗号化トラフィックに潜む脅威( マルウェア、ウイルス、フィッシングサイトなど) 「2017年にはインターネットを介した攻撃の50%以上がHTTPSを介して行われる」 • セキュリティデバイスにおける暗号化トラフィックの複合化の限界 © F5 Networks, Inc 8 8 セキュリティアプライアンス製品の現状 ファイアウォール、IDS/IPSシステム、ウイルス対策保護デバイスなどの数多くのセキュリティデバイスは、 暗号化されていないトラフィックを制御することを前提としておりSSLトラフィックを複合化し検査するよう には設計されていません。SSL暗号化/復号化の内部サポートを提供しているデバイスもありますが、通 常、パフォーマンス要件が満たされていません。 Palo Alto PA-5020 has a 79% performance decrease when doing SSL (source: NSS) SSL Performance Impacts On Bandwidth And Transaction Per Second Loss (Source NSS Labs) © F5 Networks, Inc 9 9 F5 BIG-IP SSL 可視化概要 10 SSL可視化の意味 SSL通信への対応をしない場合、IPSや次世代ファイアウォールなど は対策の意味を成さなくなりつつあります。 課題 • 次世代ファイアーウォール製品ではSSLの複合化処理を負担するとスループットが出ない • SSLのスループットを確保しようとするとハイエンドの高価なセキュリティ機器が必要 • Open SSLのなどSSL自体の脆弱性などからの保護 F5のSSL可視化ソリューションは既存のセキュリティ資産を活かしつつ、 コスト効率良く暗号化通信を可視化し、SSL通信内に潜む セキュリティリスクを排除する仕組みを提供します。 © F5 Networks, Inc 11 11 SSLの可視化(SSLリバースプロキシ & SSL フォワードプロキシ) リバースプロキシ ユーザーとアプリケーションの間に位置し、アプリの代わりにキャッシング、ロードバ インターネット ランシング、およびセキュリティ機能を提供します。 データセンター インターネット・ユーザー www (サーバー群) ホスティング 社員 フォワードプロキシ ユーザーとアプリケーションの間に位置し、キャッシングや職場からの業務に関係 のないサイトなどへのアクセスを抑制します。 © F5 Networks, Inc 12 12 F5:SSL可視化し、SSLに潜む脅威から守る 次世代 ファイアウォール 次世代 IPS 標的型対策 URフィルタリング WAF その他… 可視化 SSL SSL アプリケーション ユーザ • 最新の暗号化形式をサポート • SSLアクセラレーションハードウェアによる高パフォーマンスの実現 © F5 Networks, Inc 13 13 F5 SSL 可視化構成(インバウンド) DMZ WAF リモート ユーザー NG-IPS ② ① インターネット ② PASSIVE MONITOR ③ SSL終端及びインスペクション+SSL変換+ インテリジェントなトラフィック管理+SSL再暗号化 Firewall ④ Firewall Web/アプリケーション サーバ BIG-IP プラットフォーム ①BIG-IP上でのSSL終端 HSM ②復号化されたトラフィックはセキュリティを監視するサービスに順番に向けられます。ネットワークトラフィックはIDS/IPS、監視システム、WAFシステム等の セキュリティのチェーンにコントロールされ、それぞれのシステムは複数台で構成して拡張して構成可能であり、可視化、要求されたセキュリティポリシーの制御が可能です。 ③復号化されたトラフィックは複製されてIDS/WAFに性能上の恩恵を得る事も可能です。 ④必要によっては再暗号化してバックエンドシステムにトラフィックを向けます。 © F5 Networks, Inc 14 14 Cisco SourceFireとBIG-IPの連携ソリューション Availability/Scalability No scale or connection limits 多重防御 DDOS, Malware, Behavioral IPSの構成変更 All w/Lower TCO Service change ease F5でできること • IPSのスケイラビリティを提供 • IPSのアベイラビリティを提供 • IPSへのヘルスチェック • APIの提供 • ハイパフォーマンスSSLオフロード • インテリジェントなトラフィック制御 • DDoS防御 • White list, black listのシェア IPS Processing IPS Decision Enforced or forwarded to BIG-IP Signature Anomaly Stateful Inspect SF NGIPS SF NGIPS SF NGIPS +IPS Intelligent Load Balancing +High Availability +Shared Enforcement Users Customers DDOS IPS blacklisted Partners Attack © F5 Networks, Inc Inbound connections +SSL Decrypt/ ReEncrypt Session Persistence +Traffic Flow Decision (IPS, noIPS, drop) +Enforcing IPS Decision +DDOS Prevention Remediation API SF fwds or shares IP Black~/Whitelisted Data Center App 1 LTM App n Database 15 15 F5 SSL可視化アウトバウンド(フォワードプロキシ) コーポレート プレイサイト インターネット ファイアウォール 感染 不正サイト 構成例 - SSL フォワードプロキシ + 3rd Party Device (ICAP) インターネット プレイサイト 不正サイト © F5 Networks, Inc • SSL通信の暗号化・複合化 • プライベート証明書による代理署名 • シンプル構成 LTM + SSL Forward Proxy コーポレート 情報漏えい対策 次世代FW / URL Filtering 正常 16 16 F5 BIG-IPによるSSL可視化のメリット 1.専用アプライアンスによる最適化されたSSL暗号複合化処理を高速処理 2. SSLトラフィックの複合化と再暗号化 BIG-IPが、受信したパケットをセキュリティ機器へ転送する前に復号し、 宛先/ターゲットサーバーへの送信前に再度暗号化 3. 暗号化 & 複合化するトラフィックを識別し、不要なトラフィックはバイパス 4. iRulesにより柔軟に制御が可能 5. 複数のファイアウォールにトラフィックをシームレスに分散し、サイトの スケーラビリティを向上 6. エンドユーザーに対してサイトセキュリティのパフォーマンスと可用性を向上 © F5 Networks, Inc 17 17 さらにF5が適用可能な範囲 必要な機能のアプライアンスをベストオブリードで選択肢して配置 インター ネット DDOS RADware Arbor A10 FW CISCO CheckPoint Fortinet Juniper SSL Blue coat IPS IDS McAfee IBM HP Cisco 課題 ・導入コストが大 ・運用の複雑化 ・障害ポイントの増加 ・それぞれのアプライアンスの知識の習得 ・スケールアウトが出来ない。 LB WAF Imperva Barracuda F5で実現可能な範囲 18 19