CSA SDP PD V1.0

Size: px

Start display at page:

Download "CSA SDP PD V1.0"

たつやたもん
4 years ago
Views:

1 SDP ソフトウェアーディファインドペリメーター (Software Defined Perimeter) ベライゾンジャパン合同会社テクニカルソリューション本部エンタープライズアーキテクト工藤清仁

2 エンタープライズ環境は変化しています Latency applications 2 suppliers Performance devices fixed Strategy QoS balance Risks Topology Connectivity CPE Mobile resource s customer s location requirements tolerance users Data Center End Points cost

3 SDP とは? Software Defined Perimeter 時間的に変化するネットワーク特定の IP アドレスや DNS 名などを狙った攻撃 (Network-Based Attacks) からアプリケーションサーバーインフラを守るセキュリティフレームワーク知る必要が必要がある人ある人にだけダイナミックに通信ネットワークだけダイナミックに通信ネットワークを組み立てて通信を行うモデル明示的な DNS 名や IP アドレスを使用しないクラウドベースの SDP サービスは背後にアプリケーションを安全に隠す事ができる SDPはCSA によって策定されたオープンスタンダードですベライゾンは SDP 標準化メンバーでありそのその標準化に貢献して来ました標準化に貢献して来ました SDP は新しいプロトコルというよりも既存のスタンダードプロトコルをベースとしたプロトコルワークフローであると言えますベライゾンによる SDP の適用セキュアなクラウド接続のための新しい標準を作る事を目標としていますベライゾンは SDP をベースとした自動化されたフレームワークの展開を行いますベライゾンはすべてのクラウド接続された IoT デバイスの為にダイナミックなコネクションの作成を行うトラストブローカーとして Orchestrator を位置づけます 3

4 Software Defined Perimeter なぜ SDP が必要なのかエンタープライズの保護企業にとってトラディショナルなセキュアネットワークの境界は変化していますフィッシング, BYOD, SaaS, IaaS SDP はどこにでもセキュアネットワークの境界を再構築可能ですトラディショナルなネットワークは内部の脅威に対して脆弱性ですすべてに対する可視性と接続性 SDP は侵入拡大を阻止できます利ユーザ目線でのメリットクラウドの保護クラウド上のアプリケーションはセキュリティ上新たな要件を生み出しますエンタープライズネットワークは再定義される SDP はパブリックとプライベートドメインを跨ぐことができますコスト vs. リスク大量に押し寄せるデータは企業の情報と資産の価値を増加させます予算は両者のバランスについてゆくことが出来ません SDP は全てを変えますクラウド事業者目線でのメリット新しいアプローチが必要とされています 4

5 Software Defined Perimeter SDP の概要 SDP とは? 方式 : サービスへのアクセスにはあらかじめアポイントがはあらかじめアポイントが必要アポイントを取得したリクエスターにのみにゲートウェイのファイアーウォールがオープンするワークフロー構成要素 : スケールアウト可能なクラウドサービスとして実現として実現される 2 つのコンポーネントアポイントを仲介するコンポーネント = コントローラー / オーケストレーターコントローラーの指示でリクエストを実際に通過させる / 遮断するコンポーネント = ゲートウェイセキュリティ : リクエスターデバイスとユーザーの両方を認証デバイス情報 : デバイス用の証明書ユーザー情報 : エンタープライズ IDP からのフェデレーション情報通信の秘匿性 : 既存のオープンスタンダードを使用リクエスターデバイスからの最初のノック Single Packet Authorization (SPA) リクエスター / コンポーネント間の通信暗号化 - Mutual Transport Layer Security (mtls( mtls) アプリケーションサービス保護デバイスバリデーションなど SPA, TLS, SAML, PKI, DHE, RSA, AES, SHA, etc. 5

SDP Architecture ワークフロー ( アニメーション ) PKI Fingerprint Service Software Attestation Location, Time of Day SAML IdP Assertion Groups AD SDP Controller Service Requester (Client) Browser Apps Software

6 SDP Architecture ワークフロー ( アニメーション ) PKI Fingerprint Service Software Attestation Location, Time of Day SAML IdP Assertion Groups AD SDP Controller Service Requester (Client) Browser Apps Software Device Geo User Mutual Fingerprint Attestation SPA Get Location Identity Page SPA TLS Single Packet Authorization mtls Control Channel mtls Data Channel SDP Gateway Client Crypto IP s SDP Gateways Service Provider (Application on Cloud Service) 1. Device Authentication & Validation 1-1 Single Packet Authorization 1-2 Client-specific pinhole in firewall 1-3 Mutual TLS 1-4 Device Fingerprint 1-5 Software attestation 1-6 Geo Location, Time of Day 2 User Authentication & Authorization 2-1 Secure Browser 2-2 SAML to IdP 2-3 Member of Groups 3 Dynamic Provisioning 3-1 Client-specific crypto artifacts 3-2 Gateway Addresses 3-3 Single Packet Authorization 3-4 Mutual TLS 3-5 Application binding 3-6 Transparent SAML SDP Enables Your Enterprise to Maintain Strict Access Control 6

7 Software Defined Perimeter セキュアな発見できないネットワーク "We believe SDP can be a game changer" Bob Flores former CTO of the CIA 7

8 RSA, CSA Conference SDP Activities Mother of All Hackathons The 1 st Time One Cloud has Protected all Others Verizon MPLS Azure Verizon IPsec AWS 2014 年 2 月に米国で開かれた RSA 会議でこれらの仕組を紹介してトライアルしましたがどこの国からもアタックされることはありませんでしたまた 9 月に米国で開かれた CSA 会議でもこれらの仕組を試しました Internet 3 Clouds 104 Countries 30 Days 100,000 Highly Sophisticated Attacks 11,000,000 Advanced Method Attacks 15 Billion Attacks in all Zero Compromises! With one SDP Orchestrator and Multiple SDP Gateways in the Cloud, SDP can Protect ALL Resources in Multiple Clouds 8

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション Room D Azure Active Directory によるクラウドアプリ連携編 ~ Password Windows Intune Password Windows Intune デスクトップ PC(Windows) に対するガバナンス Azure Active Directory World SaaS Windows Server Active Directory World 業務データ