マイクロセグメンテーションの考え方とその実装 ~ セキュリティリスクの現状把握 ポリシーの策定 実装を実現するには?~ パロアルトネットワークス株式会社 SE Manager 井上高範
マイクロセグメンテーション 2 2016, Palo Alto Networks. Confidential and Proprietary.
年金機構のセキュリティ対策の課題 東京オフィス インターネットの入り口にセキュリティ対策を強化 Internet Internet WAN 福岡オフィス データセンター 社内でのセキュリティ対策が不十分で感染が拡大 年金情報 専用アプリを使用した閲覧 更新 AD がターゲットサーバとして狙われている 基幹サーバ 窓口装置 3 2016, Palo Alto Networks. Confidential and Proprietary.
物理的なセグメンテーション 物理的なセグメンテーションはされているが 出典 :http://www.galinsky.com/buildings/digitalbeijing/ 出典 :https://www.nplus-net.jp/service/datacenter/index.html 4 2016, Palo Alto Networks. Confidential and Proprietary.
侵入されてとられるもの? 現場にいく必要あり 調査に限界 持ち出しに限界 5 2016, Palo Alto Networks. Confidential and Proprietary.
ネットワークに存在する重要なもの 世界中から 見つからない限り 調査し放題 特許情報顧客情報決算書見つからない限り 持ち出し放題 データのほうが重要で盗まれやすい 6 2016, Palo Alto Networks. Confidential and Proprietary.
ネットワークのマイクロセグメンテーション 重要なセグメントを分けることによるセキュリティの強化 Internet Cloud インターネットの入口 出口 マイナンバーシステムと社内ネットワークの分離 社内ネットワーク間の通信 ( 営業所 工場 協力会社等 ) クラウド環境 ( プライベート パブリック ハイブリットクラウド ) モバイル環境 7 2016, Palo Alto Networks. Confidential and Proprietary.
今までのセグメンテーション 今までのファイアウォール アクセス制御のみ実施 ファイアウォール ( ポートベース ) セキュリティ対策が欠けている パフォーマンスが出ない インターネットと同等のセキュリティでない 8 2016, Palo Alto Networks. Confidential and Proprietary.
古い機械では検知出来ないものがある 9 2016, Palo Alto Networks. Confidential and Proprietary.
セグメンテーションに必要なセキュリティ対策 セキュリティ対策としては十分でない 今までのファイアウォール ファイアウォール ( ポートベース ) パロアルトネットワークス ファイアウォール ( アプリ識別 ) 復号化 IPS/IDS ウイルス対策スパイウェア対策標的型対策ボットネット検出 ログ記録 可視化 ファイル転送記録 新しい脅威の検出と対処 10 2016, Palo Alto Networks. Confidential and Proprietary. 可視化し通信を記録することで外部で解析し問題時に対処
マイクロセグメンテーションの強み 現状 マイクロ セグメンテーション インターネットの 入り口のみ対策 重要なセグメント毎に 対策を実施 独立した専用機を並べる 必要なセキュリティ対策を 全て実施 セキュリティ機器間での 連携なし セキュリティ機能間で 連携することで検知を強化 11 2016, Palo Alto Networks. Confidential and Proprietary.
セグメンテーションすべき箇所 重要な情報がある箇所をセグメンテーション 物理ネットワーク - インターネット データセンター 海外拠点 工場 協力会社 IOT サーバの役割 -Web サーバ App サーバ DB サーバ 重要度 運用 開発 業務 - マイナンバー 開発環境 設計 (CAD) 特許 経理 ユーザ - 部署 プロジェクト 12 2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション例 : データセンター Web サーバアプリサーバ DB サーバ 13 2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション例 : データセンター 目的毎にセグメントを分ける 用途ごとにセグメントを分ける テスト環境本番環境本番環境 ( 最重要 ) Web サーバアプリサーバ DB サーバ L7 レベルで可視化 ( アプリケーション ) L7 レベルで制御 ( アプリケーション ) L7 レベルで制御 (HTTP, DNS, SSL) L7 レベルで制御 (HTTP) L7 レベルで制御 (SQL, Oracle) ウイルス対策 ウイルス対策 ウイルス対策 ウイルス対策 ウイルス対策 スパイウェア対策 スパイウェア対策 スパイウェア対策 スパイウェア対策 スパイウェア対策 脆弱性攻撃対策 脆弱性攻撃対策 脆弱性攻撃対策 脆弱性攻撃対策 脆弱性攻撃対策 ボットネットの確認 ボットネットの確認 ボットネットの確認 ボットネットの確認 ボットネットの確認 14 2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション例 : 工場 工場ネットワークの制御 IOT/M2M の接続を制御 工場端末 工場サーバ 無線環境 工場 IOT 環境 L7 レベルで可視化 ( アプリケーション ) L7 レベルで可視化 ( アプリケーション ) L7 レベルで制御 ( アプリケーション ) ウイルス対策 ウイルス対策 ウイルス対策 ウイルス対策 スパイウェア対策 脆弱性攻撃対策 スパイウェア対策 脆弱性攻撃対策 スパイウェア対策 脆弱性攻撃対策 L4 レベルで制御と可視化 ( アプリケーション ) スパイウェア対策脆弱性攻撃対策 ボットネットの確認 ボットネットの確認 ボットネットの確認 ボットネットの確認 ファイル制御 15 2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション例 : ユーザ ( 現状の課題 ) データセンター プロジェクト A 1.1.1.1 2.2.2.1 3.3.3.3 1.1.1.2 2.2.2.2 出張先で IP が変わるとサーバにアクセス出来ない 工場 本社 プロジェクト B 2.2.2.2 1.1.1.1 1.1.1.2 2.2.2.1 1.1.1.1 1.1.1.2 2.2.2.1 2.2.2.2 人事異動の度にサーバへの登録を行っていて運用負荷が高い 16 2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション例 : ユーザで制御 データセンター プロジェクト A A さん C さん 3.3.3.3 B さん D さん プロジェクト B C さん 工場 AD 情報連携 本社 A さん B さん D さん Aさん = 1.1.1.1 Bさん = 1.1.1.2 3.3.3.3 C さん = 2.2.2.1 A さん B さん C さん D さん Dさん = 2.2.2.2 ADサーバ 17 2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション例 : クラウド基盤 クラウド基盤 (AWS Azuru) クラウド基盤の中でセグメントを分ける アメリカ用サーバー 全社用サーバー 日本用サーバー 中国用サーバー アメリカ 日本 中国 クライアントから VPN で接続 VPN で社内とクラウドサービスを接続 18 2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション事例 モバイル対策 SSL-VPN AV/IPS/IDS URL Filter 内部脅威対策 セグメンテーションユーザ識別アプリケーション制御 支店 グループ会社 支店 グループ会社 Internet 海外拠点 グループ会社 Internet Enterprise Network セグメンテーション 拠点接続点対策 海外拠点 グループ会社 入口 出口対策 GW Firewall(L4~L7) AV/IPS/IDS URL Filter サンドボックス検査感染端末検出 公開サーバー対策 出口対策 SSL 復号化 IPS 管理接続制御 拠点セキュリティ対策 GW Firewall(L4~L7) アプリケーション制御 AV/IPS/IDS URL Filter サンドボックス検査感染端末検出 19 2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーションで実現できること 1 2 3 アプリケーション とユーザレベルで アクセスを制御 既知未知の脅威の侵入を防ぎウイルスの拡散を防ぐ 通信や脅威を 可視化しログや レポートに記録 SOC や CERT でセグメントの情報を取得し解析に利用 20 2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーションを 構築するステップ 21 2016, Palo Alto Networks. Confidential and Proprietary.