こんなクラウドほしかった! クラウドを利用する際の不安を一掃するセキュリティとは パロアルトネットワークス ( 株 ) 本間庸之 2016. 6.7
パブリッククラウドを使うことによる変化 従来の IT インフラからの変化 リソースの所有から利用へ 必要な時に必要なだけ利用する
クラウドセキュリティの責任分界点 クラウドサービスにおける責任分界点 クラウド利用企業にて必要とされるレイヤー SaaS(Software as a Service) ユーザリソース ( データ, コンテンツ ) PaaS(Platform as a Service) ユーザリソースから, アプリケーションまで IaaS(Infrastructure as a Service) ユーザリソースから, ミドルウェア ( 場合によりOS) ユーザリソース ( データ等 ) アプリケーションミドルウェア OS アクセスコントロール データ暗号化 脆弱性確認 セキュアなプログラム 脆弱性確認 権限設定 ネットワーク 物理的なセキュリティ セキュリティ対策例
クラウド利用におけるセキュリティリスク ( その 1) クラウドは, 仮想化技術を使ったサービス提供 オンプレミスと異なる特性 仮想化技術の特性 マルチテナンシー 課題 : リソース分離, データ保護 一元管理 課題 : 管理コンソール権限保護 仮想化技術特性を意識したセキュリティ対策が必要 ハイパーバイザー ( ホスト OS) 課題 : 仮想化基盤の権限保護
クラウド利用におけるセキュリティリスク ( その 2) クラウドサービス事業者が定める約款例 加入者がDoS 攻撃をおこなう サービスに対する攻撃, セキュリティ脆弱性調査 ユーザアカウントの乗っ取り 脆弱性のためのポートスキャン,Probeの実行 無許可のペネトレーションテスト等 これらの実施等が確認された場合, 即利用停止となる場合も つまり 自身のリソースを守ることはもちろん, 踏み台等とならないようなセキュリティ確保が必要
クラウド利用時のセキュリティ対策 ネットワークにおける制御と可視化 アプリケーションレベルでの可視化 アプリケーションレベルでのアクセス制御 データ暗号化 (VPN/ SSL 等 ) サーバの制御と可視化 トラフィックの可視化 脅威対策の策定 新たなる脅威に対する対応 効果的な運用 ログ管理 脅威相関分析 セキュリティデバイスの一元管理
パロアルトネットワークス vs. 他社のクラウドセキュリティ対策 パロアルトネットワークス 他社 ファイアウォール ( アプリケーション識別 ) IPS/ IDS Anti Virus 未知のマルウェア URLフィルタ Anti Spyware ボットネット感染端末検知 ファイアウォール ( ポートベース ) 他製品 / 他社製品との組み合わせにより実現 UTM 機能による Performance 劣化 (IPS/ IDS,Anti- Virus/ Spyware,URL フィルタ ) 個別制御 ( 個別設定 ) による対応 コスト増 運用負荷増 異なるログ管理 異なるポリシー / オペレーション
セキュリティプラットフォームという考えを
次世代ファイアウォール 全てのアプリケーション通信を検査し, 可視化既知の脅威 ( 脆弱性攻撃, 情報漏洩, マルウェア等 ) をブロック未知の脅威についてはクラウドに送信して分析, 更に自動的にファイアウォールへフィードバック仮想環境やモバイル環境に対しても同様のセキュリティを提供
脅威分析クラウド WildFire 世界最大級のマルウェア分析クラウドサービス 次世代ファイアウォールから送信された未知のファイルをクラウド上にあるサンドボックス環境で実行 & 分析し, 未知のマルウェアを発見 防御するためのクラウドサービス ユーザ環境で発見されたマルウェアに対して, シグネチャを自動生成し, 一斉配信 TM WildFire グローバルで 9,000 社 30,000 台以上が利用検査されるファイル数 : 一日当たり約 300 万 / DAY 発見されるマルウェア : 一日当たり約 4 万 / DAY WildFire サービスの利用にあたっては, 利用する次世代ファイアウォール上で追加のサブスクリプションが必要
エンドポイント防御 :Traps エクスプロイト防御ゼロディ脆弱性を含むエクスプロイトをブロック マルウェア防御未知 既知を含む幅広いマルウェアをブロック フォレンジックデータの収集攻撃を受けた際に分析に必要なデータを保存 シンプル 軽い 分かり易いエンタープライズ環境での利用 運用をベースに設計 ネットワークおよびクラウドとの連携脅威情報を交換することにより統合的なセキュリティを実現 Traps Advanced Endpoint Protection
セキュリティ対策構成例 SaaS アプリケーション監視 / 管理 リソースの保護 - 内部感染のチェック - 脆弱性防御 - DoS 対策 SaaS IaaS/ PaaS トラフィック可視化によるアプリケーションコントロール リソースの保護 - 内部感染のチェック - 脆弱性防御 - DoS 対策 データセンタ VPN 外部 ( データセンタ ) との接続は VPN による暗号化 トラフィック可視化によるアプリケーションコントロール DC 内リソースの保護 - 内部感染のチェック
サーバ向けトラフィックの可視化 Web サーバ向けトラフィック App サーバ向けトラフィック
利用状況の可視化 アプリケーション利用帯域の可視化 サーバ利用率の可視化
トラフィックコントロール Web Queue 1 帯域 :10Mbps Priority:Mid App Queue 2 帯域 :100Mbps Priority:High DB Queue 3 帯域 :N/A Priority:Low 優先度を意識したトラフィックコントロール 回線帯域の有効活用
SaaSアプリケーションの安全利用 Aperture 国内2016年内リリース予定 SaaSアプリケーションにAPIを介して接続 ハッシュとEXEファイルをWildFireクラウドに送信 キーワード 正規表現 業界標準のデータ分類子 PCI PII等 に基づいた詳細なコンテンツ検査 機械学習によるカスタムデータ分類 ユーザ collaborator アクセス情報の抽出 脅威 データ 出現頻度に基づくリスクの計算と可視化 管理者による エンドユーザ通知 検疫などの処理可能 APERTURE WILDFIRE B 6 ファイル共有 広告
Aperture サポートする SaaS アプリケーションに MS Office365 を追加 17 2 0 1 6, Palo Alto Networks. Confidential and Proprietary. 詳細なコンテンツ検査およびアナリティクス コンテキストによるデータ公開の制御 機械学習によるファイルの分類 Aperture は 2016 年年中に 日本市場でも提供開始予定 マルウェアの検出 & 除去
ログ情報の一例 ログへ記録をすることで, ファイル ( 通信 ) のやりとりを可視化 ユーザ, ファイル名, アプリケーション等を記録することで現状を把握し, インシデント対応等が迅速に可能 ログに, ファイル名 ユーザ名 アプリケーションが記録されることで情報漏洩発生時に追究が可能 ボットネット検知
ログの重要性 アプリケーション毎 ユーザ毎のトラフィック集計により被疑の端末や問題のあるアプリケーションを制御 通信先国別表示により発生し得ないはずの国への通信を洗い出して制御
ログの重要性 IPS のシグニチャマッチングのログから脅威の傾向を把握し, 対策につなげる 非標準ポートのログと, それを許可しているルールをリストし, リスクに応じてルールの最適化を行う
ログの重要性 ブロックコンテンツのログから, 標的型攻撃の誘い込みや, マルウェアダウンロードを確認し攻撃元の特定につなげる セキュリティポリシーでのブロックログからルールの最適化の必要性を検討
セキュリティデバイスの管理 オペレータ毎の言語設定
セキュリティデバイスの集中管理 全ての環境のデバイスを一元管理 セキュリティポリシーの統一 運用負荷とコストの削減 ログ, レポートの一元化 アプライアンス VM クラウド
Appendix. パロアルトネットワークスのクラウドソリューション
VM シリーズ for VMware VM シリーズ For VMware ESXi VM シリーズ For VMware NSX VM シリーズ For Citrix NetScaler SDX
VM シリーズ for KVM Linux ブリッジ,RedHat 上の Open vswitch および Ubuntu,CentOS をサポート OpenStack プラグインによる自動化サポート システム要件 64bits Linux ディストリビューション CentOS RedHat Enterprise Linux(RHEL) Ubuntu Linux Bridge/OVS PCI-Pass through SR-IOV virtio e1000 IGB BNX2 IGBVF/IXGBVF BNX2 br0 KVM Linux KVM Linux KVM Linux
AWS サポート AWS 上に展開する Virtual Private Cloud 環境上に VM シリーズを展開可能 VM シリーズは,AMI(Amazon Machine Image) で提供.EC2 にインスタンスとして導入 VM モニタリング機能の拡張により,VM シリーズは Amazon VPC および EC2 インスタンスの IP アドレス情報を取得し,metadata をタグ付けしてセキュリティポリシーと連動可能 E1/1 Segment A E1/2 E1/2 router Segment B mgt E1/3 E1/3 router
VM シリーズ強化 (PANOS7.1 より ) サポート環境として MS Azure/ Hyper-V を新たに追加 全てのクラウド環境で次世代ファイアウォールが利用可能 AWS では,Elastic Load Balancing を追加サポート Microsoft Azure パブリッククラウド プライベートクラウド