ネットワークセキュリティのための標準技術 Trusted Network Connect ジュニパーネットワークス株式会社パートナー技術本部内藤正規 Copyright 2013 Trusted Computing Group
目次 TNC と TCG の紹介 TNC とは? どんな問題をTNCで解決できるのか? TNCはどうやって問題を解決するのか? TNCのアーキテクチャと標準技術 TNCへの参加とTNC 標準の認証 TNCのメリット ケーススタディ まとめと参照情報のポインタ Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #2
Trusted Network Connect (TNC) ネットワークセキュリティのためのオープンなアーキテクチャ 完全にベンダーに対して中立の存在 トラステッドコンピューティングを通じた強力なセキュリティ 元々は NAC(Network Access Control) のために作られた物だが 現在はネットワークセキュリティ全体へより広く対応している ネットワークセキュリティのためのオープンスタンダード 全ての設計仕様がオープン (TCGウェブサイト上からも取得可能) 2005 年に初めて準拠した製品が出荷 Trusted Computing Group(TCG) で開発 標準化グループ 100 以上の企業が参加 ユーザー ベンダー 大小の規模を問わず様々な企業が参加 Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #3
TCG: 信頼できるシステムの標準規格 仮想化プラットフォーム モバイルデバイス プリンタなどのイメージングデバイス ユーザーやデバイスの認証 ネットワークセキュリティ 安全なストレージ セキュリティハードウェア アプリケーション ソフトウェアスタック OS ウェブサーバー 認証 データー保護 PC サーバー インフラ Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #4
Trusted Platform Module(TPM) とは? PC/ デバイスのマザーボード ( 主基板 ) 上に実装されるセキュリティハードウェア TCGから仕様は公開されている 耐タンパ性をもち プラットフォーム内で独立することでソフトウェア攻撃にも耐性を持つ 今日 現在ではほとんどの企業向け PC に採用されている オプトイン ( ユーザーの同意なしに利用不可 ) のため デフォルトでは必ず使用されない状態 提供される機能 安全な鍵の保管場所を提供 暗号化の機能を提供 整合性チェックをし リモートに対して機器の状態を証明 アプリケーションでの利用 強力なユーザー / 機器認証を提供 セキュアなストレージ ( 鍵の保管場所など ) を提供 トラステッドブート セキュアブートを可能にする Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #5
TNC が解決する問題 ネットワークとエンドポイントの可視化 Network AccessControl (NAC) 誰が 何がネットワークを使用しているのか? ネットワーク上のそれらのデバイスはセキュアか? ユーザーの振る舞いは適切か? ネットワークへのエンフォースメント 明示的に許可をされた端末 振る舞い以外をブロックする デバイスやユーザーそれぞれ個別に適切なアクセスレベルの適用 デバイスの回復 健康でない デバイスや脆弱なデバイスを隔離して回復を行う セキュリティシステムとしてのインテグレーション 例えば リアルタイムにユーザーの情報や脅威となりうる振る舞いの情報をを他の機器と共有したり セキュリティの自動化 Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #6
基本的な NAC のアーキテクチャ Access Requestor (AR) Policy Enforcement (PEP) Policy Decision (PDP) VPN Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #7
MAP 他のセキュリティデバイスとの接続 Access Requestor (AR) Policy Enforcement (PEP) Policy Decision (PDP) Metadata Access (MAP) IF-MAP 対応センサーやフローコントローラ脅威検知等 Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #8
セキュリティの自動化によるつながり 資産管理ツール エンドポイントセキュリティ (NAC) 脅威管理 (SIM / SEM) Metadata Access ( MAP) IP アドレスマネジメント (IPAM) 物理セキュリティ IF-MAP プロトコル ICS/SCADA セキュリティ AAA データ漏洩防止 侵入検知クラウドやサーバーネットワークスイッチ無線 LAN ファイアウォール Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #9
TNC の実装例 ヘルスチェック 振る舞いチェック ユーザーごとのアクセスポリシー TPM を利用したシステムの整合性 ( 正当性 ) チェック Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #10
Health Check Access Requestor Policy Enforcement Policy Decision 利用ポリシーに違反 Windows 7 SP1 OSHotFix MS13-077 OSHotFix MS13-076 AV - hogehoge scan 8.0 Firewall 利用 Production Network 利用ポリシーに準拠 Windows 7 SP1 OSHotFix MS13-077 OSHotFix MS13-076 AV fugafuga AV 10.1 Firewall 利用 NAC ポリシー Windows XP SP3 OSHotFix 2499 OSHotFix 9288 AV (one of) fugafuga AV 10.1 hogehoge scan 8.0 Firewall 利用 Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #11
振る舞いチェック Access Requestor Policy Enforcement Policy Decision Metadata Access Sensors and Flow Controllers Remediation Network!!!! NAC Policy No P2P file sharing No spamming No attacking others Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #12
ユーザーごとのアクセスポリシー Access Requestor Policy Enforcement Policy Decision Metadata Access Sensors and Flow Controllers ゲストユーザー メアリー 開発部隊 ジョー 財務 Windows 7 SP1 OSHotFix MS13-077 OSHotFix MS13-076 AV fugafuga AV 10.1 Firewall 利用 NAC Policy Users and Roles Per-Role Rules Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #13
TPM を利用したシステムの整合性チェック Access Requestor TPM Trusted Platform Module TPM は PC に組み込み済み Hardware を信頼できる 重要なコンポーネントをトラステッドブートから監視 PDP は PTS interface をとおして PC の構成の整合性をチェックし 必要な場合に回復を促す Policy Enforcement Policy Decision 利用ポリシーに準拠 TPM verified BIOS OS Drivers Anti-Virus SW 業務用ネットワーク NAC Policy TPM enabled BIOS OS Drivers Anti-Virus SW Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #14
クライアントを導入できないエンドポイント Access Requestor ( エージェントが導入不可な組み込み機器など ) Policy Enforcement Policy Decision Metadata Access Sensors and Flow Controllers 隔離 回復用ネットワーク!!!! NAC Policy Place Printers on Printer Network Monitor Behavior Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #15
TNC のアーキテクチャ図 Access Requestor Policy Enforcement Policy Decision Metadata Access Sensors and Flow Controllers t Integrity Measurement Collector Collector Collectors (IMC) IF-M Integrity Measurement Verifiers Verifiers Verifiers (IMV) IF-MAP Sensor IF-IMC IF-IMV IF-MAP TNC Client (TNCC) IF-TNCCS TNC Server (TNCS) IF-MAP Metadata Access IF-PTS Platform Trust Service (PTS) TSS TPM Network Access Requestor IF-T Policy Enforcement (PEP) IF-PEP Network Access Authority IF-MAP IF-MAP IF-MAP Flow Controller http://www.trustedcomputinggroup.org/developers/trusted_network_connect/specifications Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #16
TPM と TNC でルートキットを排除 偽装端末 は時として重篤なリスクをもたらす TPM はブートシーケンスを検証し 監査する デバイスの状態をハッシュ化してPCRに保存 ( 署名もする ) PCRの値はハードウェアリスタートしない限り外部からはリセットできない PCの構成を変更したら手を加えたことが検出できる TNC は端末をネットワークに接続させるときに以下のことを行う PDP は TPM とセキュアな通信を行えるように準備する TPM は PCR の値を PDP へ送信する (TPM 内で署名するので改竄できない ) PDP は 健全な状態 の値と比べる 健全な状態の値と違う場合 信頼できない端末として隔離される ( 可能ならば 必要ならば 回復作業を行う ) Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #17
TNC フェデレーション セキュリティドメイン間で TNC のステータスを融通 必要な情報を必要な相手と共有 (Consortia, coalitions, partnerships, outsourcing, and alliances) 機器のスケールを越える大きなネットワークなど 対応機能 デバイスステータスを伴うシングルサインオン ヘルスチェックしてローミング どうやって? SAML を使用 利用用途 ネットワークローミング 組織間での情報の共有 機器のスケールにとらわれない設計が可能 セキュリティを提供するドメイン Asserting Security Domain (ASD) Role=Executive Device=Healthy Access Requestor 信頼するセキュリティドメイン Relying Security Domain (RSD) Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #18
TNC と SCAP( セキュリティ設定共通化手順 ) Access Requestor (AR) Policy Enforcement (PEP) Policy Decision (PDP) Metadata Access (MAP) Sensors, Flow Controllers SCAP クライアント SCAP 解析ソフト SCAP 外部サーバー Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #19
まとめ : TNC の柔軟なアーキテクチャ アセスメントのオプション 識別情報 ステータス 振る舞い 場所等々 TPMを追加すればハードウェアベースのアセスメントも可能 ネットワークに入る前にもチェックが出来 接続後も監視を続けることが可能 アクセスコントロールのオプション 802.1X ファイアウォール VPN ゲートウェイ DHCP ソフトウェアベース クライアントを導入できないデバイスも許容できるオプション NAC に対応出来ない機器 プリンタ 電話 オートメーション制御機器 ゲストユーザーなど 情報を他のドメインと共有することが可能 IF-MAP はユーザーの識別情報 ステータス 振る舞いを共有することが出来る仕組み IF-MAP だけではなく フェデレーションもサポート Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #20
まとめ :TNC のメリット オープンスタンダード!! 独自ではないため マルチベンダー環境でいいとこ取りが出来る インターオペラビリティーを持つ ユーザーは導入に選択をすることが出来る 仕様を確認すれば第三者の検証がいつでも可能 既存ネットワークの効果を最大限に活かすことが出来る 非常に高い投資効果 (ROI) を期待できる 将来に向けてのロードマップ 標準規格のみでのフル構成を可能に Trusted Platform Module (TPM) のサポート TNC 標準に準拠している機器は既に市場にある! Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #21
TNC を取り入れている企業 Access Requestor Policy Enforcement Policy Decision Metadata Access Sensors, Flow Controllers Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #22
Microsoft NAP インターオペラビリティ IF-TNCCS-SOH NAP or TNC Client Switches, APs, Appliances, Servers, etc. NAP or TNC Server IF-TNCCS-SOH という オープン規格 Microsoft の Statement of Health (SoH) プロトコル Microsoftにより TCGへオープン規格として寄与された TCGによって 新しいTNC 規格の一つ IF-TNCCS-SOHとして公開 利用できる Windows シリーズ Windows XP SP3 以降 Windows Server 2008 以降で対応 他の TNC ベンダーでも組み込まれている 実装の概要 NAP サーバーは TNC クライアントを追加アプリケーションなしでチェック可能 (NAP クライアントは TNC サーバーから追加アプリケーションなしでヘルスチェック可能 ) IF-TNCCS-SOH を実装すれば Microsoft でなくても箱出しでそのまま利用できる Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #23
IETF と TNC IETF NEA(Network Endpoint Assessment) WG ゴールの設定 : 普遍的に使用できる NAC クライアント NAC サーバのプロトコルに合意を得る Cisco 所属の方と TNC ワーキンググループが共同で作業 TNC プロトコルは徐々にRFCへ PA-TNC (RFC 5792) PB-TNC (RFC 5793) 上記はTCGの IF-M 1.0 と IF-TNCCS 2.0と同じ物 Cisco Intel Juniper Microsoft Symantecによる共同編集 現在 IF-T について IETF の認可を得るために作業中 Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #24
OSS で TNC をサポートしているソフトウェア たくさんのOSSがTNCをサポートしている University of Applied Arts and Sciences in Hannover, Germany (FHH) http://trust.inform.fh-hannover.de libtnc http://sourceforge.net/projects/libtnc OpenSEA 802.1X supplicant http://www.openseaalliance.org FreeRADIUS http://www.freeradius.org omapd IF-MAP Server http://code.google.com/p/omapd strongswan IPsec http://www.strongswan.org Open Source TNC SDK (IF-IMV and IF-IMC) http://sourceforge.net/projects/tncsdk TCG による OSS プロジェクトを支援する仕組み Liaison Memberships (OSS 開発者のための無料会員制度 ) TNC header files をオープンソースとしてライセンス Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #25
TNC 認定プログラム 適切に TNC 標準を実装しているプロダクトに対しての認定 認定の課程 TCG が実施している自動化された準拠テストを受ける Plugfest 式 ( 訳注 : 一斉接続大会的な物 ) に出して インターオペラビリティテストを行う 最終的に TCG Web site に認定プロダクトとしてリストされる TNC 認定を受けるメリット 機器の相互接続性について信頼を得ることが出来る! 機器調達の要件に盛り込む / 入り込む機会が増える! Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #26
TNC の利用実態 広く利用されているのか? 答えは Yes 100 万単位のエンドポイントユーザー 1000を越えるユーザー たくさんのプロダクト セキュリティはどんな分野でも必要とされる 政府機関 金融機関 ヘルスケア 販売業 etc. etc. Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #27
Case Study St. Mary s County Public Schools Who Public school district in Maryland 16,000 students, 2,100 staff 26 schools, Grades K-12 New, intensive STEM academies STEM = Science, Technology, Engineering, and Math Grades 6-12 要件 STEM academies のための無線 LAN でのノート PC 受け入れ 最も強力なセキュリティを必要としていた STEM のノート PC のみを接続 ユーザーごとのアクセスコントロール ノート PC に対する強力なヘルスチェック 全ての無線トラフィックの暗号化 Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #28
St. Mary s County Public Schools - Solution ソリューション Juniper UAC を利用 クライアントソフトウェアを導入 ヘルスチェックは常時 Juniper ではない無線 AP を利用 802.1X による認証とコントロール TNC から IF-PEP (PDP 内の Network Access Authority と Policy Enforcement 間の通信規格 ) を使用 特徴的なデザイン タイトなアクセスコントロールを実行 強いセキュリティ要求に対応 常時ヘルスチェックを実行 Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #29
おさらい TNC は今あるセキュリティの問題を解決し 成長を続ける 柔軟でオープンなアーキテクチャは変革にも素早い対応が出来る 協調して自動的に適応されるセキュリティはよりよく安価なソリューションとなる TNCはオープンなネットワークセキュリティアーキテクチャであり 標準である マルチベンダー間での相互互換性を持つ 既に行った投資を無駄にしない さらに今後のコスト削減を実現する ベンダーの囲い込みを避けることが出来る 次のソリューションも自由に選べる TNC は最も強力なセキュリティを提供する オプションで利用できる TPM はルートキットを排除できる オープンなアーキテクチャは常に進化を続ける事ができる TNC 標準は広く支持されている たくさんの機器ベンダー オープンソース IETF 等 Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #30
さらなる情報のポインタ TNC Web Site 技術情報 http://www.trustedcomputinggroup.org/developers/trusted_network_connect ビジネス情報 http://www.trustedcomputinggroup.org/solutions/network_security TNCワーキンググループ共同議長 Steve Hanna Distinguished Engineer, Juniper Networks shanna@juniper.net Atul Shah Senior Security Strategist, Microsoft ashah@microsoft.com Copyright 2013 Trusted Computing Group Other names and brands are properties of their respective owners. Slide #31