<4D F736F F F696E74202D D53534C89C28E8B89BB835C838A B FD089EE8E9197BF2E >

Transcription

1 常時 SSL 化への対策 F5 BIG-IP による SSL 可視化ソリューション F5 ネットワークスジャパン合同会社 2015 年 11 月 1

2 セキュリティ対策とはリスク管理 リスク = 脅威 脆弱性 情報資産 脅威 情報資産を脅かす行為 サイバー攻撃 DDoS 攻撃 不正なログイン SQL インジェクション ホームページの改竄 脆弱性 システム上の問題点 瑕疵 脆弱性のあるソフトウェア OS ミドルウェア RDB アプリケーション 設定ミス 情報資産 様々な知財 ID 情報 顧客情報 事業を支えるシステム 踏み台になることによる第三者への影響 悪用 剥奪 F5 Networks, Inc 2 2

3 脅威から守るために 脆弱性に対する攻撃 脅威を防御するための代表的な手段 / ソリューション 脅威 情報資産を脅かす行為 サイバー攻撃 DDoS 攻撃 不正なログイン SQL インジェクション ホームページの改竄 サーバファームを守る IDS/IPS OS ミドルウェア メールなどの脆弱性に対する攻撃をパターンマッチングで検出 防御 WAF(Web Application Firewall) Webアプリケーションに特化し 様々な手法で脆弱性に対する攻撃を検出 防御 クライアントPCが起因する攻撃から守る次世代ファイアウォール 社員の利用するアプリケーションを可視化し アクセスの許可 / 不許可などの制御を行い 様々な脅威から防御 URL フィルタリング /Secure Web Gateway 不正なサイトへのアクセス リダイレクトをブロックし マルウェア等に感染したPCから悪意あるWebサイトへの通信を検知 遮断し 脅威から防御 F5 Networks, Inc 3 3

4 企業におけるセキュリティ対策 インターネット上のサイトアプリケーション コンシューマー / ユーザー クライアント PC が起因する攻撃から守る インターネット サーバファームへの攻撃から守る 企業ネットワーク 次世代 FW URL フィルタリング FW IPS WAF サーバロードバランサ Web サーバ データセンター /DMZ F5 Networks, Inc 4 4

5 SSL 化は年間 30% で拡大 E コマース化による需要拡大 プライバシーニーズ モバイルデバイスの増加 Snowden Effect Netcraft 社の SSL Survey を基に F5 Networks で作成縦軸 : SSL 証明書の発行件数 ( 単位 :10K) F5 Networks, Inc 5 5

6 暗号化トラフィックが増加 変化への対応 インサイダーの脅威 規制とコンプライアンス 進化し続ける暗号化方式 全ての端末がネットワークに接続 暗号化トラフィックの増加 % 成長率 / 年 SSLが必要とされ次世代プロトコル HTTP 2.0 SPDY TLS 1.3 SSL の利用率は年度毎に 20~30% 成長 SSL は急速に変化 新しい標準化 異なるブラウザ設定 複雑化 TODAY 25% % F5 Networks, Inc 6 6

7 SSL 暗号化通信が 攻撃の隠れみの になっている 暗号化されたトラフィックに潜む 見えない脅威 HTTPS 暗号化トラフィック (SSL/TSL) 機密情報情報資産 インターネット SSLトラフィックは復号化しない限り標的型対策製品 / IPS/WAFで検疫できない 次世代 FWによる SSL 復号化はパフォーマンスの大幅な低下を招く HTTPSを利用した攻撃の80% が検出を逃れている F5 Networks, Inc 7 7

8 トラフィック暗号化による課題 企業ネットワーク内における暗号化トラフィックの増加多くの Web サービスやクラウドアプリケーションでは TLS/SSL を使用して クライアントとのセッションのセキュリティを確保しています 新しい暗号化形式 SSL 鍵長による著しいパフォーマンス劣化 (2048 ビットは 1024 ビットと比較して 6.3 倍の処理能力が必要 暗号化トラフィックに潜む脅威 ( マルウェア ウイルス フィッシングサイトなど ) 2017 年にはインターネットを介した攻撃の 50% 以上が HTTPS を介して行われる セキュリティデバイスにおける暗号化トラフィックの複合化の限界 F5 Networks, Inc 8 8

9 セキュリティアプライアンス製品の現状 ファイアウォール IDS/IPS システム ウイルス対策保護デバイスなどの数多くのセキュリティデバイスは 暗号化されていないトラフィックを制御することを前提としており SSL トラフィックを複合化し検査するようには設計されていません SSL 暗号化 / 復号化の内部サポートを提供しているデバイスもありますが 通常 パフォーマンス要件が満たされていません Palo Alto PA-5020 has a 79% performance decrease when doing SSL (source: NSS) SSL Performance Impacts On Bandwidth And Transaction Per Second Loss (Source NSS Labs) F5 Networks, Inc 9 9

10 F5 BIG-IP SSL 可視化概要 10

11 SSL 可視化の意味 SSL 通信への対応をしない場合 IPS や次世代ファイアウォールなどは対策の意味を成さなくなりつつあります 課題 次世代ファイアーウォール製品では SSL の複合化処理を負担するとスループットが出ない SSL のスループットを確保しようとするとハイエンドの高価なセキュリティ機器が必要 Open SSL のなど SSL 自体の脆弱性などからの保護 F5 の SSL 可視化ソリューションは既存のセキュリティ資産を活かしつつ コスト効率良く暗号化通信を可視化し SSL 通信内に潜むセキュリティリスクを排除する仕組みを提供します F5 Networks, Inc 11 11

12 SSL の可視化 (SSL リバースプロキシ & SSL フォワードプロキシ ) インターネット ユーザー リバースプロキシユーザーとアプリケーションの間に位置し アプリの代わりにキャッシング ロードバランシング およびセキュリティ機能を提供します インターネットデータセンター ( サーバー群 ) www ホスティング 社員 フォワードプロキシユーザーとアプリケーションの間に位置し キャッシングや職場からの業務に関係のないサイトなどへのアクセスを抑制します F5 Networks, Inc 12 12

13 F5:SSL 可視化し SSL に潜む脅威から守る 次世代ファイアウォール 次世代 IPS 標的型対策 UR フィルタリング WAF その他 可視化 SSL SSL ユーザ アプリケーション 最新の暗号化形式をサポート SSL アクセラレーションハードウェアによる高パフォーマンスの実現 F5 Networks, Inc 13 13

14 F5 SSL 可視化構成 ( インバウンド ) DMZ WAF NG-IPS PASSIVE MONITOR リモートユーザー インターネット Firewall 1 SSL 終端及びインスペクション +SSL 変換 + インテリジェントなトラフィック管理 +SSL 再暗号化 4 Firewall Web/ アプリケーションサーバ BIG-IP プラットフォーム HSM 1BIG-IP 上でのSSL 終端 2 復号化されたトラフィックはセキュリティを監視するサービスに順番に向けられます ネットワークトラフィックはIDS/IPS 監視システム WAFシステム等のセキュリティのチェーンにコントロールされ それぞれのシステムは複数台で構成して拡張して構成可能であり 可視化 要求されたセキュリティポリシーの制御が可能です 3 復号化されたトラフィックは複製されてIDS/WAFに性能上の恩恵を得る事も可能です 4 必要によっては再暗号化してバックエンドシステムにトラフィックを向けます F5 Networks, Inc 14 14

15 Cisco SourceFire と BIG-IP の連携ソリューション Users Availability/Scalability No scale or connection limits 多重防御 DDOS, Malware, Behavioral IPS の構成変更 All w/lower TCO Service change ease Signature Anomaly IPS Processing IPS Decision Enforced or forwarded to BIG-IP SF NGIPS SF NGIPS Stateful SF NGIPS Inspect +IPS Intelligent Load Balancing +High Availability +Shared Enforcement F5 でできること IPS のスケイラビリティを提供 IPS のアベイラビリティを提供 IPS へのヘルスチェック API の提供 ハイパフォーマンス SSL オフロード インテリジェントなトラフィック制御 DDoS 防御 White list, black list のシェア Remediation API SF fwds or shares IP Black~/Whitelisted Data Center Partners Customers DDOS IPS blacklisted LTM App 1 Attack Inbound connections +SSL Decrypt/ ReEncrypt Session Persistence +Traffic Flow Decision (IPS, noips, drop) +Enforcing IPS Decision +DDOS Prevention App n Database F5 Networks, Inc 15 15

16 F5 SSL 可視化アウトバウンド ( フォワードプロキシ ) コーポレート プレイサイト インターネット ファイアウォール 不正サイト 感染 構成例 - SSL フォワードプロキシ + 3 rd Party Device (ICAP) インターネット LTM + SSL Forward Proxy コーポレート プレイサイト不正サイト SSL 通信の暗号化 複合化 プライベート証明書による代理署名 シンプル構成 情報漏えい対策次世代 FW / URL Filtering 正常 F5 Networks, Inc 16 16

17 F5 BIG-IP による SSL 可視化のメリット 1. 専用アプライアンスによる最適化された SSL 暗号複合化処理を高速処理 2. SSL トラフィックの複合化と再暗号化 BIG-IP が 受信したパケットをセキュリティ機器へ転送する前に復号し 宛先 / ターゲットサーバーへの送信前に再度暗号化 3. 暗号化 & 複合化するトラフィックを識別し 不要なトラフィックはバイパス 4. irules により柔軟に制御が可能 5. 複数のファイアウォールにトラフィックをシームレスに分散し サイトのスケーラビリティを向上 6. エンドユーザーに対してサイトセキュリティのパフォーマンスと可用性を向上 F5 Networks, Inc 17 17

18 さらに F5 が適用可能な範囲 必要な機能のアプライアンスをベストオブリードで選択肢して配置 インターネット DDOS RADware Arbor A10 FW CISCO CheckPoint Fortinet Juniper SSL Blue coat IPS IDS McAfee IBM HP Cisco WAF Imperva Barracuda LB 課題 導入コストが大 運用の複雑化 障害ポイントの増加 それぞれのアプライアンスの知識の習得 スケールアウトが出来ない F5 で実現可能な範囲 18

19 19