Title slide with picture

Similar documents
IceWall Remote Configuration Managerのご紹介

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

SinfonexIDaaS機能概要書

多要素認証が求められる背景と IceWall MFA概要

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

PowerPoint Presentation

PowerPoint プレゼンテーション

IceWallソフトウェア認証連携(フェデレーション)ソリューションIceWallFederationのご紹介

リバースプロキシー (シングル構成) 構築手順

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

— intra-martで運用する場合のセキュリティの考え方    

WEBシステムのセキュリティ技術

McAfee Application Control ご紹介

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

スライド 1

どこでもキャビネットVer1.3 ご紹介資料

PowerPoint Presentation

Imperva Incapsula Web サイト セキュリティ データシート クラウドを利用したアプリケーション セキュリティ クラウドベースの Web サイト セキュリティ ソリューションである Imperva Incapsula は 業界をリードする WAF 技術に加え 強力な二要素認証および

リバースプロキシー(冗長構成)構築手順

目次 第 1 章 環境構築 システム概要 ロードバランサ ジーンコードサーバー コンテンツサーバー (PC サイトサーバー ) コンテンツサーバー (PC サイトサーバー ) DNS... 6

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

CA Federation ご紹介資料

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

製品概要

FUJITSU Cloud Service K5 認証サービス サービス仕様書

提案書

KSforWindowsServerのご紹介

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

SiteLock操作マニュアル

認証連携(フェデレーション)ソリューションIceWall Federationのご紹介

オージス総研のご紹介 社名 代表者 設立 株式会社オージス総研 取締役社長平山輝 1983 年 6 月 29 日 資本金 4 億円 ( 大阪ガス株式会社 100% 出資 ) 売上実績 512 億円 ( 連結 ) 270 億円 ( 単体 ) ( 2010 年度 ) 従業員数 2,847 名 ( 連結

スライド 1

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

SQLインジェクション・ワームに関する現状と推奨する対策案

~ アドレス収集くん ~ セキュリティ対策御説明資料

プレゼンテーション

PowerPoint プレゼンテーション

グループ一覧を並び替える すべてのユーザー グループの並び順を変更する ユーザーの登録

Mobile Access簡易設定ガイド

OpenAM(OpenSSO) のご紹介

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

PowerPoint Presentation

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

Web Gateway資料(EWS比較付)

UCSセキュリティ資料_Ver3.5

情報漏洩対策ソリューション ESS REC のご説明

項番 現象 原因 対応手順書など 4 代理店コードでのダウンロード時に以下のメッセージの画面が表示される サービス時間外のため 現在 このサービスはご利用になれません 当機能のサービス時間外です 以下の時間帯にダウンロードしてください 月曜日 ~ 金曜日 7:00~21:00 土曜日 7:00~17

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

なぜIDSIPSは必要なのか?(v1.1).ppt

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

目次 ログイン ログイン お知らせ画面... 3 チェック結果の表示 / 新規作成 / 更新 / データ出力 チェック結果一覧の表示 新規作成 チェック結果の検索 チェック結果の詳

KS_SSO_guide

JACi400のご紹介~RPGとHTMLで簡単Web化~

OpenAMトレーニング

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

Canon Mobile Scanning MEAP Application インストールについて

Active Directory フェデレーションサービスとの認証連携

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

OSSTechプレゼンテーション

SQL インジェクションの脆弱性

Microsoft Word - MyWebPortalOffice_Levelup.doc

Webセキュリティサービス

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

SonicWALL サーバ証明書 2048bit 対応ファームウェア アップデート手順書 PROシリーズ(G4製品)版

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

Powered BLUE メールプラス

Mobile Access IPSec VPN設定ガイド

Corp ENT 3C PPT Template Title

スライド 1

PowerPoint プレゼンテーション

Oracle SALTを使用してTuxedoサービスをSOAP Webサービスとして公開する方法

How to Use the PowerPoint Template

情報連携用語彙データベースと連携するデータ設計 作成支援ツール群の試作及び試用並びに概念モデルの構築 ( 神戸市こども家庭局こども企画育成部 千葉市総務局情報経営部業務改革推進課 川口市企画財政部情報政策課 ) データ構造設計支援ツール設計書 2014 年 9 月 30 日 実施企業 : 株式会社ア

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

Microsoft Word 基_シラバス.doc

PowerPoint Presentation

SonicWALL サーバー証明書 2048bit 対応ファームウェア アップデート手順書 TZ180(G4製品)版

CLUSTERPRO MC ProcessSaver 2.3 for Windows 導入ガイド 第 5 版 2018 年 6 月 日本電気株式会社

Microsoft Word - Release_IDS_ConnectOne_ _Ver0.4-1.doc

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

IE用事前設定手順書

ESET Internet Security V10 モニター版プログラム インストール / アンインストール手順

Windows Server 2003 におけるPrint Manager V6.0L10の留意事項

スライド 1

1. 無線 LAN 設定情報の取得 接続に必要な SSID と暗号化キーの情報を取得します キャンパス内では開放教室の PC などを活用して取得してください 1-1 TMUNER Web サイト のトップページ ( の [ 利用者メニュー ] を選

スライド 1

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

クラウドファイルサーバーデスクトップ版 インストールマニュアル 利用者機能 第 1.2 版 2019/04/01 富士通株式会社

Microsoft PowerPoint _セミナー資料(オージス).pptx

SOCKET 契約社 ( 管理者 ) 用取扱説明書 ver 管理者設定 作業員が SOCKET サーバー (Windows マシン上 ) と NAS の導入ならびに導通テストを行った後に 作業員と一緒に SOCKET サーバー上で管理者設定を行ってください 1 管理者情報 と その他

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

IWF30SupportMatrix_v3.8.xlsx

PowerPoint プレゼンテーション

Confidential

Transcription:

2018 年 3 月更新 ver.1.0 既存の環境に容易にアドオンし 高セキュリティとミッションクリティカルシステムを実現 IceWall MCRP のご紹介 日本ヒューレット パッカード株式会社 IceWall ソフトウェア本部

目次 1. 概要 2. アーキテクチャ 3. セキュリティ強化機能 4. IceWall MCRP 機能 5. お問い合わせ 2

概要

新たな認証基盤のニーズ 他社サイトとの連携やクラウドサービスとの接続などによって 認証基盤の対象範囲および関係者の数が急速に拡大し 社内 社外を含めた大規模環境にも適応できるミッションクリティカルな認証基盤が求められています クラウドや仮想化環境での操作 もしくはその環境との接続が必要条件となります また ステークホルダーが増加し 認証基盤の更新が益々容易ではなくなります Windows Salesforce.com Google XaaS 他社との SAML 接続 新たな認証基盤のニーズ 認証基盤の範囲が拡大 接続性に優れたミッションクリティカルな認証基盤 認証 スケーラビリティ セキュリティ 他サイトとの OpenID 接続 無停止 4

認証基盤に必要な要素を満たす SSO ソリューション IceWall SSO は従来は勿論のこと 今後の認証基盤に必要とされる要素を機能として実装している国内唯一のシングルサインオンソリューションです きめ細かいアクセスログ機能 スケーラビリティの確保 IP v6 対応 クラウド技術への適用 長期的な製品保証 セキュリティ対策の強化 仮想化上での動作 認証処理速度の向上 IceWall 無停止運用 64bit OS への対応 クラウドサービスとの接続保証 5

IceWall MCRP とは 従来の IceWall SSO のフォワーダー (dfw) と比べて 性能面 セキュリティ機能を大幅に強化した リバースプロキシサーバーとして動作するソフトウェアです コンテンツアクセス Apache リバースプロキシ RPモジュール コンテンツアクセス 改修なし Webサーバーソフト Web コンテンツ IceWall MCRP 主な機能 Apache の専用組み込みモジュールによる高速リバースプロキシ バックエンド サーバーの URL の隠蔽 クロスサイトスクリプティング SQL インジェクション防御機能 ( 悪意のある文字列のフィルタリング防御 ) Web サーバー障害時の自動フェイルオーバー HTTP ヘッダーの制御 IceWall SSO 認証モジュールとの連携による SSO( シングル サインオン ) 所要時間のログ出力 ( バックエンドサーバーでの所要時間を記録し ボトルネック スローダウンの原因解析が可能 ) 6

アーキテクチャ

IceWall MCRP のアーキテクチャ IceWall MCRP は Apache のモジュールとして読み込まれてメモリ上に常駐して動作するため 従来の IceWall SSO のフォワーダー (dfw) と比べて処理が高速 (CPU の使用量が少ない ) になっています また バックエンド Web サーバーと HTTP/1.1 での通信が可能です Process CGI IceWall SSO フォワーダー (dfw) のアーキテクチャ HTTP/1.0 または 1.1 Apache( 親 ) httpd( 子 ) httpd( 子 ) httpd( 子 ) httpd( 子 ) dfw (CGI) dfw (CGI) dfw (CGI) dfw (CGI) 1 リクエスト毎に都度起動される 設定ファイル 1 リクエスト毎に disk から都度読み込まれる HTTP/1.0 のみ ( 制限 ) IceWall MCRP のアーキテクチャ HTTP/1.0 または 1.1 Apache( 親 ) httpd( 子 ) +mod_iw httpd( 子 ) +mod_iw httpd( 子 ) +mod_iw httpd( 子 ) +mod_iw プロセスとして常駐する 設定ファイル HTTP/1.0 または 1.1 プロセスの起動時及び設定変更時のみ disk から読み込まれる MCRP の設定ファイルを変更しても Apache の再起動は必要ありません 8

IceWall SSO との連携によるシングルサインオン IceWall MCRP は IceWall SSO と連携することで シングルサインオン (SSO) の環境を実現して 複数のアプリケーションへのログインを 1 度に済ますことができます IceWall MCRP 単体での構成 コンテンツアクセス Apache リバースプロキシ RPモジュール コンテンツアクセス Web サーバーソフト Web コンテンツ IceWall MCRP IceWall SSO と組み合わせてシングルサイオン (SSO) 環境を実現する場合の構成 ログイン時のみ コンテンツアクセス IceWall SSO フォワーダ Apache フォワーダ アクセス制御 エージェント (mod) リバースプロキシ RP モジュール ログイン時のみ ( 認証 ) コンテンツアクセス 認可 IceWall SSO 認証サーバー 認証モジュール Web コンテンツ Web サーバーソフト 認証 DB IceWall MCRP 9

機能

IceWall MCRP による Web セキュリティ強化 ケーションの前段に IceWall MCRP を配置することにより 既存の ケーションを改修することなく Web セキュリティを強化することができます クロスサイトスクリプティング (XSS) への防御 SQL インジェクションへの防御 URL/Query String を利用したバッファオーバーフローへの防御 アクセスログの一元取得 管理 考えられるほとんどの攻撃パターンに対して防御はできますが 全てのパターン 新たな攻撃パターンに対して完全に防御できるわけではありません SQL インジェクションの防御以外の各機能は IceWall SSO の標準機能と同等です コンテンツアクセス Apache リバースプロキシ RP モジュール コンテンツアクセス 改修なし Webサーバーソフト Web コンテンツ IceWall MCRP 11

クロスサイトスクリプティング (XSS) への防御 正当な利用者が悪サイトのリンクを押してしまうと XSS 未対応のサーバーを経由して不正なスクリプトダウンロードして実行してしまい 不正に情報を搾取されてしまう可能性があります スクリプトが埋め込まれたリクエストを送信 未対応 情報漏洩 攻撃者 表示された不正スクリプトをダウンロードして実行不正ページリンク不正スクリプトによりセッション情報 パスワード等が流出 MCRPのXSSフィルタリング機能により リクエストデーター及びコンテンツ内の不正な文字列を検出し セッションを切断または無害化してクライアントにダウンロードさせることが可能です 被害防止 攻撃者 スクリプトが埋め込まれたリクエストを送信 不正ページ リンク IceWall MCRP スクリプトが埋め込まれたコンテンツ 未対応 リクエスト内の不正スクリプトを検出して無害化またはエラーページ表示 不正スクリプトの含まれるコンテンツをダウンロードする際 フィルタリングにより無害化 またはエラーページを表示 12

SQL インジェクションへの防御 悪意のある攻撃者がSQLインジェクション未対応のWebアプリケーションに SQL 文を含んだ不正な文字列を送る事により 顧客データー等の機密情報を不正に取得する可能性があります 本来実行させてはならない SQL 文を埋め込んだ不正なリクエストを送信 未対応 攻撃者 SQL の実行結果を攻撃者に提供してしまう 情報漏洩 機密情報 DB サーバー MCRP の SQL インジェクション対応機能により SQL 文を含んだ不正なリクエストを検出し セッションを切断する事が可能です 本来実行させてはならない SQL 文を埋め込んだ不正なリクエストを検出し エラー表示 未対応 攻撃者 被害防止 IceWall MCRP DB サーバー 13

MCRP による XSS/SQL インジェクション対策のメリット 1 システム内にクロスサイトスクリプティング SQL インジェクションへの対策が行われていないサーバーやアプリケーションが放置されているような場合でも MCRP によってフロントエンドで一括でフィルタリングを行う事ができ かつパフォーマンスの劣化も最小限に抑えることが可能です 攻撃者 ダウンロードしたコンテンツに埋め込まれた不正なスクリプトを実行させられ情報を漏洩してしまう 不正な SQL コマンドを含むコードを実行して機密情報を奪取する IceWall MCRP 未対応 未対応 DB サーバー リクエストデーター / ダウンロードコンテンツ <SCRIPT> <SCRIPT> のように XSS の攻撃に使用されうる文字列を 無害化してからクライアントに返却 ( またはエラー画面を表示する ) リクエストデーターあらかじめ定義している入力変数内に などの特殊文字が混入されている場合 リクエストをエラーとして処理し Web サーバーに渡さない DB サーバー 14

MCRP による XSS/SQL インジェクション対策のメリット 2 SSL を使用している場合 HTTP の通信が暗号化されているため XSS/SQL インジェクションの対策を行うポイントが絞られてきます リバースプロキシを行う MCRP サーバーでは 必然的に SSL の複合化 再暗号化を行う事となるため 合わせて HTTP のフィルタリングをするのが非常に合理的です 暗号化されているためここでのフィルタリングは困難 MCRPサーバーでフィルタリングとあわせて復号化 再暗号化サーバー証明書 サーバー証明書 攻撃者 ファイヤウォール SSL SSL SSL 非 SSL IceWall MCRP DB サーバー DB サーバー 15

他の Web セキュリティソリューションとの比較 IceWall MCRP による Web セキュリティ強化は 他の方法と比べて導入が簡単であり ボトルネックになりにくいというメリットがあります 費用面性能面セキュリティ面その他 IceWall MCRP による対策 UTM/WAF 等に比べて安価 モジュールが小さく性能劣化が極小 トラヒックが増えても LB によるスケールアウトが可能 メジャーな攻撃手法である XSS/SQL インジェクションを防御することが可能 モジュールの追加によりシングルサインオン環境を簡単にアドオンできる UTM/WAF による対策 ベンダー 機種により異なるが 高性能なモデルではかなり高額となる場合もある 機種によりボトルネックとなる可能性もある トラヒックが増えてもスケールアウトできない製品が多く 置換えが必要 ベンダー毎のパターンファイル及びその更新によりマイナー 新しい攻撃を防御可能 アプリケーション改修による対策 アプリケーション規模が大きい場合 数が多い場合はかなり高額となる場合もある アプリケーション改修による再テスト 性能面への影響評価 チューニング等が必要 開発のミスなどにより セキュリティホールが残る バグ等が生じる可能性がある UTM Unified Threat Management 複数のセキュリティ機能が統合的に実装されたセキュリティ機器 WAF Web Application Firewall Web アクセスに特化したレイヤ 7 のファイアウォール 16

トランザクション ID 出力機能を利用したログ管理 同一トランザクション内 ( クライアント to クライアント ) で共通の ID を持ち回り ログや画面に出力します ID を突き合わせることにより 障害解析をより迅速にすすめることが可能となります (ICP2.0 のみ ) IceWall SSO+MCRP でのトランザクション ID 出力機能を利用したログ管理例 POINT XX123 各エラー画面にトランザクション ID を埋め込み出力することも可能 ログイン 最初にエージェントにアクセスする際にトランザクション ID を生成 TRN ID:XX123 TRN ID:XX123 IceWall サーバー エージェント XX123 MCRP IceWall エージェント +MCRP XX123 XX123 同一リクエストのログには同じ ID を付加 TRN ID:XX123 XX123 XX123 Webアプリ 認証サーバー認証 DB トランザクション ID をヘッダーに付加し バックエンド Web サーバーに送付も可能 17

IceWall MCRP 4.0 新機能 多言語対応 /bootstrap 化表示するテンプレート HTML を クライアントの言語や User-Agent ごとに切り替えて表示することができます 設定ファイルの共通化ロードバランサー配下に配置された 複数台の MCRP サーバー設定ファイルを共通にできるようになりました コンテンツ変換処理の高速化 URL やキーワードの変換処理が従来と比べて高速化しています 18

お問い合わせ

お問い合わせおよび周辺サービス お電話でのお問い合わせ ( 日本ヒューレット パッカードカスタマー インフォメーションセンター ) 0120-268-186 / 03-5749-8279 ( 携帯電話 PHS から ) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 ( 土 日 祝祭日 年末年始および 5 月 1 日を除く ) Web フォームからのお問い合わせ http://www.hpe.com/jp/iw-contact 最新 / 詳細情報 IceWall Federation 公式サイト http://www.hpe.com/jp/icewall-mcrp IceWall SSO 公式サイト http://www.hpe.com/jp/icewall 技術レポート ( 新規レポート随時公開中!!) http://www.hpe.com/jp/iw-report カタログ http://www.hpe.com/jp/iw-catalog IceWall SSO 評価用マニュアルダウンロード http://www.hpe.com/jp/icewall-download 各種サービス 導入サービス コンサルティングサービス エンジニア様向け技術トレーニング 海外拠点への導入 コンサルティングサービス 20

Thank you

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック