2018 年 3 月更新 ver.1.0 既存の環境に容易にアドオンし 高セキュリティとミッションクリティカルシステムを実現 IceWall MCRP のご紹介 日本ヒューレット パッカード株式会社 IceWall ソフトウェア本部
目次 1. 概要 2. アーキテクチャ 3. セキュリティ強化機能 4. IceWall MCRP 機能 5. お問い合わせ 2
概要
新たな認証基盤のニーズ 他社サイトとの連携やクラウドサービスとの接続などによって 認証基盤の対象範囲および関係者の数が急速に拡大し 社内 社外を含めた大規模環境にも適応できるミッションクリティカルな認証基盤が求められています クラウドや仮想化環境での操作 もしくはその環境との接続が必要条件となります また ステークホルダーが増加し 認証基盤の更新が益々容易ではなくなります Windows Salesforce.com Google XaaS 他社との SAML 接続 新たな認証基盤のニーズ 認証基盤の範囲が拡大 接続性に優れたミッションクリティカルな認証基盤 認証 スケーラビリティ セキュリティ 他サイトとの OpenID 接続 無停止 4
認証基盤に必要な要素を満たす SSO ソリューション IceWall SSO は従来は勿論のこと 今後の認証基盤に必要とされる要素を機能として実装している国内唯一のシングルサインオンソリューションです きめ細かいアクセスログ機能 スケーラビリティの確保 IP v6 対応 クラウド技術への適用 長期的な製品保証 セキュリティ対策の強化 仮想化上での動作 認証処理速度の向上 IceWall 無停止運用 64bit OS への対応 クラウドサービスとの接続保証 5
IceWall MCRP とは 従来の IceWall SSO のフォワーダー (dfw) と比べて 性能面 セキュリティ機能を大幅に強化した リバースプロキシサーバーとして動作するソフトウェアです コンテンツアクセス Apache リバースプロキシ RPモジュール コンテンツアクセス 改修なし Webサーバーソフト Web コンテンツ IceWall MCRP 主な機能 Apache の専用組み込みモジュールによる高速リバースプロキシ バックエンド サーバーの URL の隠蔽 クロスサイトスクリプティング SQL インジェクション防御機能 ( 悪意のある文字列のフィルタリング防御 ) Web サーバー障害時の自動フェイルオーバー HTTP ヘッダーの制御 IceWall SSO 認証モジュールとの連携による SSO( シングル サインオン ) 所要時間のログ出力 ( バックエンドサーバーでの所要時間を記録し ボトルネック スローダウンの原因解析が可能 ) 6
アーキテクチャ
IceWall MCRP のアーキテクチャ IceWall MCRP は Apache のモジュールとして読み込まれてメモリ上に常駐して動作するため 従来の IceWall SSO のフォワーダー (dfw) と比べて処理が高速 (CPU の使用量が少ない ) になっています また バックエンド Web サーバーと HTTP/1.1 での通信が可能です Process CGI IceWall SSO フォワーダー (dfw) のアーキテクチャ HTTP/1.0 または 1.1 Apache( 親 ) httpd( 子 ) httpd( 子 ) httpd( 子 ) httpd( 子 ) dfw (CGI) dfw (CGI) dfw (CGI) dfw (CGI) 1 リクエスト毎に都度起動される 設定ファイル 1 リクエスト毎に disk から都度読み込まれる HTTP/1.0 のみ ( 制限 ) IceWall MCRP のアーキテクチャ HTTP/1.0 または 1.1 Apache( 親 ) httpd( 子 ) +mod_iw httpd( 子 ) +mod_iw httpd( 子 ) +mod_iw httpd( 子 ) +mod_iw プロセスとして常駐する 設定ファイル HTTP/1.0 または 1.1 プロセスの起動時及び設定変更時のみ disk から読み込まれる MCRP の設定ファイルを変更しても Apache の再起動は必要ありません 8
IceWall SSO との連携によるシングルサインオン IceWall MCRP は IceWall SSO と連携することで シングルサインオン (SSO) の環境を実現して 複数のアプリケーションへのログインを 1 度に済ますことができます IceWall MCRP 単体での構成 コンテンツアクセス Apache リバースプロキシ RPモジュール コンテンツアクセス Web サーバーソフト Web コンテンツ IceWall MCRP IceWall SSO と組み合わせてシングルサイオン (SSO) 環境を実現する場合の構成 ログイン時のみ コンテンツアクセス IceWall SSO フォワーダ Apache フォワーダ アクセス制御 エージェント (mod) リバースプロキシ RP モジュール ログイン時のみ ( 認証 ) コンテンツアクセス 認可 IceWall SSO 認証サーバー 認証モジュール Web コンテンツ Web サーバーソフト 認証 DB IceWall MCRP 9
機能
IceWall MCRP による Web セキュリティ強化 ケーションの前段に IceWall MCRP を配置することにより 既存の ケーションを改修することなく Web セキュリティを強化することができます クロスサイトスクリプティング (XSS) への防御 SQL インジェクションへの防御 URL/Query String を利用したバッファオーバーフローへの防御 アクセスログの一元取得 管理 考えられるほとんどの攻撃パターンに対して防御はできますが 全てのパターン 新たな攻撃パターンに対して完全に防御できるわけではありません SQL インジェクションの防御以外の各機能は IceWall SSO の標準機能と同等です コンテンツアクセス Apache リバースプロキシ RP モジュール コンテンツアクセス 改修なし Webサーバーソフト Web コンテンツ IceWall MCRP 11
クロスサイトスクリプティング (XSS) への防御 正当な利用者が悪サイトのリンクを押してしまうと XSS 未対応のサーバーを経由して不正なスクリプトダウンロードして実行してしまい 不正に情報を搾取されてしまう可能性があります スクリプトが埋め込まれたリクエストを送信 未対応 情報漏洩 攻撃者 表示された不正スクリプトをダウンロードして実行不正ページリンク不正スクリプトによりセッション情報 パスワード等が流出 MCRPのXSSフィルタリング機能により リクエストデーター及びコンテンツ内の不正な文字列を検出し セッションを切断または無害化してクライアントにダウンロードさせることが可能です 被害防止 攻撃者 スクリプトが埋め込まれたリクエストを送信 不正ページ リンク IceWall MCRP スクリプトが埋め込まれたコンテンツ 未対応 リクエスト内の不正スクリプトを検出して無害化またはエラーページ表示 不正スクリプトの含まれるコンテンツをダウンロードする際 フィルタリングにより無害化 またはエラーページを表示 12
SQL インジェクションへの防御 悪意のある攻撃者がSQLインジェクション未対応のWebアプリケーションに SQL 文を含んだ不正な文字列を送る事により 顧客データー等の機密情報を不正に取得する可能性があります 本来実行させてはならない SQL 文を埋め込んだ不正なリクエストを送信 未対応 攻撃者 SQL の実行結果を攻撃者に提供してしまう 情報漏洩 機密情報 DB サーバー MCRP の SQL インジェクション対応機能により SQL 文を含んだ不正なリクエストを検出し セッションを切断する事が可能です 本来実行させてはならない SQL 文を埋め込んだ不正なリクエストを検出し エラー表示 未対応 攻撃者 被害防止 IceWall MCRP DB サーバー 13
MCRP による XSS/SQL インジェクション対策のメリット 1 システム内にクロスサイトスクリプティング SQL インジェクションへの対策が行われていないサーバーやアプリケーションが放置されているような場合でも MCRP によってフロントエンドで一括でフィルタリングを行う事ができ かつパフォーマンスの劣化も最小限に抑えることが可能です 攻撃者 ダウンロードしたコンテンツに埋め込まれた不正なスクリプトを実行させられ情報を漏洩してしまう 不正な SQL コマンドを含むコードを実行して機密情報を奪取する IceWall MCRP 未対応 未対応 DB サーバー リクエストデーター / ダウンロードコンテンツ <SCRIPT> <SCRIPT> のように XSS の攻撃に使用されうる文字列を 無害化してからクライアントに返却 ( またはエラー画面を表示する ) リクエストデーターあらかじめ定義している入力変数内に などの特殊文字が混入されている場合 リクエストをエラーとして処理し Web サーバーに渡さない DB サーバー 14
MCRP による XSS/SQL インジェクション対策のメリット 2 SSL を使用している場合 HTTP の通信が暗号化されているため XSS/SQL インジェクションの対策を行うポイントが絞られてきます リバースプロキシを行う MCRP サーバーでは 必然的に SSL の複合化 再暗号化を行う事となるため 合わせて HTTP のフィルタリングをするのが非常に合理的です 暗号化されているためここでのフィルタリングは困難 MCRPサーバーでフィルタリングとあわせて復号化 再暗号化サーバー証明書 サーバー証明書 攻撃者 ファイヤウォール SSL SSL SSL 非 SSL IceWall MCRP DB サーバー DB サーバー 15
他の Web セキュリティソリューションとの比較 IceWall MCRP による Web セキュリティ強化は 他の方法と比べて導入が簡単であり ボトルネックになりにくいというメリットがあります 費用面性能面セキュリティ面その他 IceWall MCRP による対策 UTM/WAF 等に比べて安価 モジュールが小さく性能劣化が極小 トラヒックが増えても LB によるスケールアウトが可能 メジャーな攻撃手法である XSS/SQL インジェクションを防御することが可能 モジュールの追加によりシングルサインオン環境を簡単にアドオンできる UTM/WAF による対策 ベンダー 機種により異なるが 高性能なモデルではかなり高額となる場合もある 機種によりボトルネックとなる可能性もある トラヒックが増えてもスケールアウトできない製品が多く 置換えが必要 ベンダー毎のパターンファイル及びその更新によりマイナー 新しい攻撃を防御可能 アプリケーション改修による対策 アプリケーション規模が大きい場合 数が多い場合はかなり高額となる場合もある アプリケーション改修による再テスト 性能面への影響評価 チューニング等が必要 開発のミスなどにより セキュリティホールが残る バグ等が生じる可能性がある UTM Unified Threat Management 複数のセキュリティ機能が統合的に実装されたセキュリティ機器 WAF Web Application Firewall Web アクセスに特化したレイヤ 7 のファイアウォール 16
トランザクション ID 出力機能を利用したログ管理 同一トランザクション内 ( クライアント to クライアント ) で共通の ID を持ち回り ログや画面に出力します ID を突き合わせることにより 障害解析をより迅速にすすめることが可能となります (ICP2.0 のみ ) IceWall SSO+MCRP でのトランザクション ID 出力機能を利用したログ管理例 POINT XX123 各エラー画面にトランザクション ID を埋め込み出力することも可能 ログイン 最初にエージェントにアクセスする際にトランザクション ID を生成 TRN ID:XX123 TRN ID:XX123 IceWall サーバー エージェント XX123 MCRP IceWall エージェント +MCRP XX123 XX123 同一リクエストのログには同じ ID を付加 TRN ID:XX123 XX123 XX123 Webアプリ 認証サーバー認証 DB トランザクション ID をヘッダーに付加し バックエンド Web サーバーに送付も可能 17
IceWall MCRP 4.0 新機能 多言語対応 /bootstrap 化表示するテンプレート HTML を クライアントの言語や User-Agent ごとに切り替えて表示することができます 設定ファイルの共通化ロードバランサー配下に配置された 複数台の MCRP サーバー設定ファイルを共通にできるようになりました コンテンツ変換処理の高速化 URL やキーワードの変換処理が従来と比べて高速化しています 18
お問い合わせ
お問い合わせおよび周辺サービス お電話でのお問い合わせ ( 日本ヒューレット パッカードカスタマー インフォメーションセンター ) 0120-268-186 / 03-5749-8279 ( 携帯電話 PHS から ) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 ( 土 日 祝祭日 年末年始および 5 月 1 日を除く ) Web フォームからのお問い合わせ http://www.hpe.com/jp/iw-contact 最新 / 詳細情報 IceWall Federation 公式サイト http://www.hpe.com/jp/icewall-mcrp IceWall SSO 公式サイト http://www.hpe.com/jp/icewall 技術レポート ( 新規レポート随時公開中!!) http://www.hpe.com/jp/iw-report カタログ http://www.hpe.com/jp/iw-catalog IceWall SSO 評価用マニュアルダウンロード http://www.hpe.com/jp/icewall-download 各種サービス 導入サービス コンサルティングサービス エンジニア様向け技術トレーニング 海外拠点への導入 コンサルティングサービス 20
Thank you