常時SSL化への対策 F5 BIG-IPによるSSL可視化ソリューション

常時SSL化への対策
F5 BIG-IPによるSSL可視化ソリューション
F5ネットワークスジャパン合同会社
2015年11月
1
セキュリティ対策とはリスク管理
リスク = 脅威 × 脆弱性 × 情報資産
脅威
 情報資産を脅かす行為
 サイバー攻撃
 DDoS攻撃
 不正なログイン
 SQLインジェクション
 ホームページの改竄
脆弱性
 システム上の問題点・瑕疵
 脆弱性のあるソフトウェア
 OS
 ミドルウェア、RDB
 アプリケーション
 設定ミス
悪用
© F5 Networks, Inc
情報資産




様々な知財
ID情報、顧客情報
事業を支えるシステム
踏み台になることによる第
三者への影響
剥奪
2
2
脅威から守るために
・サーバファームを守る
IDS/IPS
脆弱性に対する攻撃、脅威を防御するための
代表的な手段/ソリューション
脅威
 情報資産を脅かす行為
 サイバー攻撃
 DDoS攻撃
 不正なログイン
 SQLインジェクション
 ホームページの改竄
OS、ミドルウェア、メールなどの脆弱性に対する攻撃を
パターンマッチングで検出、防御
WAF（Web Application Firewall）
Webアプリケーションに特化し、様々な手法で脆弱性に
対する攻撃を検出、防御
・クライアントPCが起因する攻撃から守る
次世代ファイアウォール
社員の利用するアプリケーションを可視化し、アクセスの
許可／不許可などの制御を行い、様々な脅威から防御
URLフィルタリング/Secure Web Gateway
不正なサイトへのアクセス、リダイレクトをブロックし、
マルウェア等に感染したPCから悪意あるWebサイトへの
通信を検知・遮断し、脅威から防御
© F5 Networks, Inc
3
3
企業におけるセキュリティ対策
コンシューマー/ユーザー
インターネット上のサイト
アプリケーション
インターネット
サーバファームへの攻撃から守る
クライアントPCが起因する
攻撃から守る
企業ネットワーク
次世代FW
URLフィルタリング
FW
Webサーバ
IPS
WAF
サーバ
ロードバランサ
データセンター / DMZ
© F5 Networks, Inc
4
4
SSL化は年間30%で拡大
3.5
3
2.5
2
プライバ
シー
ニーズ
Ｅコマース化による
需要拡大
モバイル
デバイス
の増加
Snowden
Effect
1.5
1
0.5
0
1998
2002
2006
2010
2014
Netcraft社のSSL Surveyを基にF5 Networksで作成 縦軸: SSL証明書の発行件数（単位：10K）
© F5 Networks, Inc
5
5
暗号化トラフィックが増加
変化への対応
• インサイダーの脅威
• 規制とコンプライアンス
• 進化し続ける暗号化方式
• 全ての端末がネットワークに
接続
SSLが必要とされ次世代プロトコル
• HTTP 2.0
• SPDY
• TLS 1.3
暗号化トラフィックの増加
20-30 成長率/年
%
TODAY
25%
2017
50%
• SSLの利用率は年度毎に20~30%成長
• SSLは急速に変化… 新しい標準化、異なるブラウザ設定、複雑化
© F5 Networks, Inc
6
6
SSL暗号化通信が「攻撃の隠れみの」になっている
暗号化されたトラフィックに潜む「見えない脅威」
HTTPS暗号化トラフィック（SSL/TSL）
機密情報
情報資産
インターネット
SSLトラフィックは
次世代FWによる
HTTPSを利用した
復号化しない限り
SSL復号化は
攻撃の80%が
標的型対策製品/
パフォーマンスの
検出を逃れている
IPS/WAFで検疫できない
大幅な低下を招く
© F5 Networks, Inc
7
7
トラフィック暗号化による課題
• 企業ネットワーク内における暗号化トラフィックの増加
多くのWebサービスやクラウドアプリケーションではTLS/SSLを使用して、クライアントとの
セッションのセキュリティを確保しています。
• 新しい暗号化形式、SSL鍵長による著しいパフォーマンス劣化（2048ビットは
1024ビットと比較して6.3倍の処理能力が必要
• 暗号化トラフィックに潜む脅威（ マルウェア、ウイルス、フィッシングサイトなど）
「2017年にはインターネットを介した攻撃の50%以上がHTTPSを介して行われる」
• セキュリティデバイスにおける暗号化トラフィックの複合化の限界
© F5 Networks, Inc
8
8
セキュリティアプライアンス製品の現状
ファイアウォール、IDS/IPSシステム、ウイルス対策保護デバイスなどの数多くのセキュリティデバイスは、
暗号化されていないトラフィックを制御することを前提としておりSSLトラフィックを複合化し検査するよう
には設計されていません。SSL暗号化/復号化の内部サポートを提供しているデバイスもありますが、通
常、パフォーマンス要件が満たされていません。
Palo Alto PA-5020 has a 79% performance decrease when doing SSL (source: NSS)
SSL Performance Impacts On Bandwidth And Transaction Per Second Loss (Source NSS Labs)
© F5 Networks, Inc
9
9
F5 BIG-IP SSL 可視化概要
10
SSL可視化の意味
SSL通信への対応をしない場合、IPSや次世代ファイアウォールなど
は対策の意味を成さなくなりつつあります。
課題
• 次世代ファイアーウォール製品ではSSLの複合化処理を負担するとスループットが出ない
• SSLのスループットを確保しようとするとハイエンドの高価なセキュリティ機器が必要
• Open SSLのなどSSL自体の脆弱性などからの保護
F5のSSL可視化ソリューションは既存のセキュリティ資産を活かしつつ、
コスト効率良く暗号化通信を可視化し、SSL通信内に潜む
セキュリティリスクを排除する仕組みを提供します。
© F5 Networks, Inc
11
11
SSLの可視化(SSLリバースプロキシ & SSL フォワードプロキシ)
リバースプロキシ
ユーザーとアプリケーションの間に位置し、アプリの代わりにキャッシング、ロードバ
インターネット
ランシング、およびセキュリティ機能を提供します。
データセンター
インターネット・ユーザー
www
(サーバー群)
ホスティング
社員
フォワードプロキシ
ユーザーとアプリケーションの間に位置し、キャッシングや職場からの業務に関係
のないサイトなどへのアクセスを抑制します。
© F5 Networks, Inc
12
12
F5：SSL可視化し、SSLに潜む脅威から守る
次世代
ファイアウォール
次世代
ＩＰＳ
標的型対策
ＵＲフィルタリング
WAF
その他…
可視化
SSL
SSL
アプリケーション
ユーザ
• 最新の暗号化形式をサポート
• SSLアクセラレーションハードウェアによる高パフォーマンスの実現
© F5 Networks, Inc
13
13
F5 SSL 可視化構成（インバウンド）
DMZ
WAF
リモート
ユーザー
NG-IPS
②
①
インターネット
②
PASSIVE MONITOR
③
SSL終端及びインスペクション＋SSL変換＋
インテリジェントなトラフィック管理＋SSL再暗号化
Firewall
④
Firewall
Web/アプリケーション
サーバ
BIG-IP プラットフォーム
①BIG-IP上でのSSL終端
HSM
②復号化されたトラフィックはセキュリティを監視するサービスに順番に向けられます。ネットワークトラフィックはIDS/IPS、監視システム、WAFシステム等の
セキュリティのチェーンにコントロールされ、それぞれのシステムは複数台で構成して拡張して構成可能であり、可視化、要求されたセキュリティポリシーの制御が可能です。
③復号化されたトラフィックは複製されてIDS/WAFに性能上の恩恵を得る事も可能です。
④必要によっては再暗号化してバックエンドシステムにトラフィックを向けます。
© F5 Networks, Inc
14
14
Cisco SourceFireとBIG-IPの連携ソリューション
Availability/Scalability
No scale or connection limits
多重防御
DDOS, Malware, Behavioral
IPSの構成変更
All w/Lower TCO
Service change ease
F5でできること
• IPSのスケイラビリティを提供
• IPSのアベイラビリティを提供
• IPSへのヘルスチェック
• APIの提供
• ハイパフォーマンスSSLオフロード
• インテリジェントなトラフィック制御
• DDoS防御
• White list, black listのシェア
IPS Processing
IPS Decision Enforced or
forwarded to BIG-IP
Signature
Anomaly
Stateful
Inspect
SF NGIPS
SF NGIPS
SF NGIPS
+IPS Intelligent Load Balancing
+High Availability
+Shared Enforcement
Users
Customers
DDOS
IPS blacklisted
Partners
Attack
© F5 Networks, Inc
Inbound
connections
+SSL Decrypt/ ReEncrypt
Session Persistence
+Traffic Flow Decision (IPS,
noIPS, drop)
+Enforcing IPS Decision
+DDOS Prevention
Remediation API
SF fwds or shares IP
Black~/Whitelisted
Data
Center
App 1
LTM
App n
Database
15
15
F5 SSL可視化アウトバウンド（フォワードプロキシ）
コーポレート
プレイサイト
インターネット
ファイアウォール
感染
不正サイト
構成例 - SSL フォワードプロキシ + 3rd Party Device (ICAP)
インターネット
プレイサイト
不正サイト
© F5 Networks, Inc
•
SSL通信の暗号化・複合化
•
プライベート証明書による代理署名
•
シンプル構成
LTM + SSL
Forward Proxy
コーポレート
情報漏えい対策
次世代FW / URL Filtering
正常
16
16
F5 BIG-IPによるSSL可視化のメリット
1.専用アプライアンスによる最適化されたSSL暗号複合化処理を高速処理
2. SSLトラフィックの複合化と再暗号化
BIG-IPが、受信したパケットをセキュリティ機器へ転送する前に復号し、
宛先/ターゲットサーバーへの送信前に再度暗号化
3. 暗号化 & 複合化するトラフィックを識別し、不要なトラフィックはバイパス
4. iRulesにより柔軟に制御が可能
5. 複数のファイアウォールにトラフィックをシームレスに分散し、サイトの
スケーラビリティを向上
6. エンドユーザーに対してサイトセキュリティのパフォーマンスと可用性を向上
© F5 Networks, Inc
17
17
さらにF5が適用可能な範囲
必要な機能のアプライアンスをベストオブリードで選択肢して配置
インター
ネット
DDOS
RADware
Arbor
A10
FW
CISCO
CheckPoint
Fortinet
Juniper
SSL
Blue coat
IPS
IDS
McAfee
IBM
HP
Cisco
課題
・導入コストが大
・運用の複雑化
・障害ポイントの増加
・それぞれのアプライアンスの知識の習得
・スケールアウトが出来ない。
LB
WAF
Imperva
Barracuda
F5で実現可能な範囲
18
19