S Security it BIG-IP BIGA li ti Security Application S it Manager M 製品概要 F5ネットワークスジャパン株式会社 アプリケーション・セキュリティ:: トレンドと推進要因 アプリケーション・セキュリティ ■ アプリケ アプリケーションの「Web化」 ションの「Web化」 ■ ターゲットを絞った攻撃 ■ コンプライアンスへの対応(PCIなど) ■ インテリジェントなブラウザおよびアプリケーション ■ 侵害行為やデータセキュリティに関する社会全体の認識の 高まり ■ 厳しい経済状況 = リソ リソースの制約と予算削減による スの制約と予算削減による セキュリティリスクの拡大とコンプライアンスの低下リスク Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 2 ほとんど全てWeb ほとんど全て Webアプリケーションは脆弱 アプリケーションは脆弱 ■ 「Webサイトの97%が脆弱性のために不正侵入される Webサイトの97%が脆弱性のために不正侵入される 危機に直面。 脆弱性の69%はクライアント側の攻撃」 - Web Application Security Consortium http://www.webappsec.org/projects/statistics/ ■ 「Webサイトの80%は攻撃に対して脆弱」 - WhiteHat “security report ” http://www whitehatsec com/home/assets/WPstats0808 pdf http://www.whitehatsec.com/home/assets/WPstats0808.pdf ■ 「不正侵入の75%はアプリケーションレベルで発生」 - Gartner “Security at the Application Level” ■ 「開発者の64%はセキュアなアプリケーションを記述する自信がない」 - Microsoft Developer Research Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 3 脆弱性に起因する支出 ■ 平均的なカスタム・ビジネス・アプリケーションは15~25万行のコード。 g -- Software Magazine ■ 1000行のコード毎に平均して15の重大なセキュリティの欠陥が存在します。 -- U.S. Department of Defense ■ すなわち、ビジネス・アプリケーションには平均して2250のセキュリティホールが存在する ことになります。 ■ 平均的なセキュリティホールは診断に75分、修正に6時間を要します。 平均的なセキ リティホ ルは診断に75分 修正に6時間を要します -- 5-year Pentagon Study ■ したがって、上述のケースでは診断に2800時間を要し、修正に13500時間を要することに なります。 ■ 世界全体におけるプログラマの平均単価は約4000円/時間 ■ つまり、上述のケースでは診断コストが1120万円、修正コストが5400万円 必要です。 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 4 利益を生まない作業が開発者に要求されている… 利益を生まない作業が開発者に要求されている … アプリケーション セキュリティは セキュリティ は? アプリケーションの パッチ作業 アプリケーションの 拡張性 アプリケーションの 開発 アプリケーションの パフォーマンス パフォ マンス Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 5 アプリケーションのセキュリティは誰の責任? アプリケーションのセキュリティは誰の責任 ? Web開発者? ネットワーク・セキュリティ? エンジニアリング・サービス? ンジ アリング サ ビス? DBA? Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 6 セキュリティチームの関心事 下記の事を実現できるようにインフラストラクチャを高性能化する 方法を探る – – – – – – ビジネスを中断させずに最新の攻撃を阻止する 既知の脆弱性にすばやく対応する 開発チ ムを規制することなくW bサイトのセキ リテ 管理をする 開発チームを規制することなくWebサイトのセキュリティ管理をする アプリケーションのセキュリティ保護と最適化の両方を行う 再構成 再構成なしにキャパシティを拡大する ィを拡 す アプリケーションで何が起こっているかを実際に確認する 最適化されたアプリケーション・セキュリティが 必要だ! Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 7 従来型ソリューションの課題 ■ HTTPアクセス自体は有効なリクエスト ■ HTTPはステートレス、アプリケーションはステートフル ■ Webアプリケーションはユーザ固有のもの Webアプリケ ションはユ ザ固有のもの – ユーザ自身の個別Webアプリケーションに対するシグネチャはない ■ 優れた保護をするためにはレスポンスデータの精査も必要 優れた保護をするためにはレスポンスデ タの精査も必要 ■ 暗号化されたトラフィックによる攻撃への対応 ■ ユーザは、Webアプリケーションアタックを認識していない – HTTP攻撃に対しての検出/ログ/レポートツールが不足している HTTP攻撃に対しての検出/ログ/レポ トツ ルが不足している Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 8 従来型のスキャン//修正と監査 従来型のスキャン ■ スキャン/修正 – – – – – スキャナはすべての脆弱性は検出できない スキャナはコードのリバース・エンジニアリングを実行できない スキャナはビジネスロジックの脆弱性を検出できない 何か検出された場合には、即座にコードを変更する必要がある 事前対策型のソリューションではない ■ セキュリティコード監査 – – – – きわめて高額(小~中規模のアプリケーションで約250万円) 準備と開発チームの協力が必要 監査と修 監査と修正の繰り返しが必要 繰り返 が必要 それぞれの修正によって別のバグや脆弱性が現在のアプリケーションに追加される恐れがある 「防御できるのは認識された問題のみ です。 認識されていない問題を防御す ることはできません」 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 9 従来のセキュリティデバイスとWAF 従来のセキュリティデバイスと WAFの比較 の比較 ネットワーク・ ファイアウォール IPS ASM 既知のWebワーム 限定的 未知のWebワーム X 限定的 既知のWeb脆弱性 限定的 一部 未知のWeb脆弱性 X 限定的 限定的 X X Webサーバファイルへの不正アクセス 強制的ブラウズ 強制的 ラウ X X 限定的 バッファ・オーバフロー 限定的 限定的 クロスサイト・スクリプティング 限定的 限定的 X X X X X X X 限定的 ファイル/ディレクトリ列挙 SQL/OSインジェクション Cookieポイズニング 隠しフィールドの改ざん パラメータ改ざん レイヤ7 DoS攻撃 ブルートフォース・ログイン攻撃 アプリケーション・セキュリティとアクセラレーション Copyright © 2009 All rights reserved F5 Networks Japan K.K. X X X X X X BIG-IP Application Security Manager 10 BIG--IP ASM : 適応性の高い強力なソリューション BIG ■ 全てのWebアプリケ 全てのWebアプリケーションの脆弱性に対する総合的な ションの脆弱性に対する総合的な 保護を提供 ■ 難しい設定無しにセキュリティを提供 ■ すべてのアプリケーション・トラフィック のログとレポートを作成 ■ L3~L7の保護を提供 L3 L7の保護を提供 ■ セキュリティとアクセラレーションのサービスを統合 ■ 従来のWAFでは認識されない攻撃を阻止 ■ オンデマンドWAF拡張を提供 ■ アプリケーション・レベルのパフォーマンスを認識 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 11 BIG--IP ASMのビジネス上の利点 BIG ASMのビジネス上の利点 ビジネスの最適化 ■ 運用コストの削減 運用 トの削減 – ハッカーおよび攻撃を阻止することにより、アプリケーションの 高可用性を保証 – セキュリティに関するコンプライアンス要件を満たすための経費を削減 ■ アプリケーション配信の合理化 – 高度化されたセキュリティとアクセラレーション ■ インフラストラクチャ・コストの削減 – 統合とグローバル化 統合とグロ バル化 ■ 革新的なアプリケーション・セキュリティ・ポリシーを最小限の 設定で提供 ■ アプリケーションの可視性とレポート ■ 優れた機敏性により、変化し続ける脅威に対応 優れた機敏性により 変化し続ける脅威に対応 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 12 ベストプラクティス ■ アプリケ アプリケーションの状態を強化する ションの状態を強化する ■ 情報漏えいを目的としたレスポンスをチェックする ■ 明確で追跡可能なセキュリティポリシ 明確で追跡可能なセキュリティポリシーを使用する を使用する ■ 監査用にHTTPメッセージのログを記録する ■ ポジティブロジックとネガティブロジックの組み合わせを 使用する ■ HTTPとHTTPSの両方を精査する ■ 段階的にセキュリティ強化を開始する Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 13 オールインワン・プラットフォーム サーバ 側 TCP LA ANプロファイル ル クライ アント 側 One eConnect TCPプロキシ 圧縮 Link Controller キャ ャッシング SSLオフロード TCP P Express L7レートシェーピング グ マイクロカーネル ■ TMOSの各種の多彩な機能による利点 - フル・リバースプロキシ フル リバ スプロキシ - iRules™ - 最速のSSLアクセラレータ - リモート認証/認可 - デジタル証明書管理 - 拡張ロギング - FIPS準拠 - TCP/IP最適化 - VLANセグメンテーション VLANセグメンテ シ ン - IP/ポート・フィルタリング IP/ポ ト フ ルタリング Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 14 BIG--IP ASM v10.0の新機能 BIG v10.0の新機能 • • • レイヤ7 DoSおよびブルートフォース攻撃の防御 Application Ready Solutionポリシー • PeopleSoft Portal、Oracle Portal、SharePoint、Outlook Web Access、 Domino Webメールサーバ アプリケ ションの可視性とレポ ト – アプリケーションがどのようにアクセスされ、 アプリケーションの可視性とレポート アプリケ ションがどのようにアクセスされ 動作するかを表示 • • • • • • • URI単位のサ URI単位のサーバ遅延の監視 遅延の監視 パターンマッチングシグネチャ • • 侵害重大度のロギング Syslogの大幅な強化 VIPRION上でのASM対応 – 高スループットのサービス用にオンデマンドで拡張可能な Webアプリケーション・ファイアウォールを提供 8900上でのASMスタンドアロン – 高コスト効果、高スループットのスタンドアロン・ プラットフォーム ASMおよびWA び – 高速かつセキュアで、パフォーマンス低下なしに利用可能な 高速 パ 能 オールインワン 集中化された高度なレポート作成 – Splunkとの連携 デ タベ スのセキ リティ – SecernoのDataWallとの連携 データベースのセキュリティ S のD t W llとの連携 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 15 BIG--IPASMプラットフォームの提供形態 BIG IPASMプラットフォームの提供形態 ■ BIG-IP LTMでのモジュールとして使用可能 LTMでのモジュ ルとして使用可能 – 3600/6400/6800/6900 – 8400/8800/8900 – VIPRION ■ TMOS上のスタンドアロンASM – 3600 – 6900 – 8900 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 16 きわめて拡張性の高いアプリケーション・セキュリティ 提供価値 オンデマンドの拡張性 先進のセキュリティ 統合されたセキュリティ・パフォ マンス 統合されたセキュリティ・パフォーマンス アプリケーションの詳細認識/可視性 セキュリティの向上 : 2倍以上のパフォーマンス Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 17 理にかなったセキュリティポリシー ■自動または手動で生成 ■明確なビジュアル・ポリシーであり、分かりやすく 管理が容易 ■リクエストとレスポンスの両方に適用 ■Webサイトセキュリティ実施の中心 実施 コンテンツ・スクラビング ンテンツ スクラビング アプリケーション・クローキング Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 18 例: パラメータ改ざん URL(図を参照)内またはページのソースを表 示することにより、サーバに送信された要求を 変更します。 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 19 複数レベルのセキュリティレイヤ ■ RFC実施 ■ さまざまなHTTP制限の実施 良 ■ 良好なトラフィックのプロファイリング – 許可されるファイルタイプ、URL、パラメータの定義リスト ■ それぞれのパラメータを以下の項目に対して別々に評価 – – – – 事前に定義された値 事前 定義された値 長さ キャラクタセット 攻撃パターン • パターンマッチするシグネチャの検索 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 20 レイヤ7 レイヤ 7 DoSおよびブルートフォース DoSおよびブルートフォース 独自の攻撃検知と防御 ■ 好ましくないクライアントは修正され、必要なクライアントにサービスが提供される ■ アプリケーションのアベイラビリティ向上 ■ 自動制御が介在しながら価値向上にフォーカス Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 21 アプリケーションの可視化とレポート URIの監視によるサーバ遅延の確認 URI の監視によるサーバ遅延の確認 ■ 遅延の原因となるサ 遅延の原因となるサーバコードのトラブルシューティング バコ ドのトラブルシュ ティング Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 22 誤検知のない導入 ■ Webアプリケ Webアプリケーションの簡単実装 ションの簡単実装 – すばやい導入ポリシー – 事前に定義されたアプリケーション・ポリシー ■ 学習モード 学習モ ド – 段階的な導入 – 透過的/半透過的/完全ブロック 完 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 23 レポート Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 24 レポート Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 25 医療機関の例 Sh SharePoint SharePointによるアプリケーション・セキュリティが必要 P i tによるアプリケ tによるアプリケーション・セキュリティが必要 によるアプリケ シ ン セキ リテ が必要 リモートユーザ カンザスシティのデータセンター 医療スタッフ ITスタッフ Web ITスタッフ Exchange ITスタッフ ネットワーク ハッカー BIG-IP 8900 コロンバスの支所 ITスタッフ ITスタッフ 問題 アベイラビリティおよびセキュリティ • • • • Eメールなどを使用してFTPフォルダにテスト結果をアップロード Webアプリケーション・トラフィックのセキュリティが必要 現在のネットワーク・ファイアウォールは攻撃を検知できない Webアプリケーションのセキュリティ担当者が任命されていない Webアプリケ ションのセキュリティ担当者が任命されていない Copyright © 2009 All rights reserved F5 Networks Japan K.K. 医療スタッフ Web Exchange BIG IP 6900 BIG-IP BIG-IP Application Security Manager 26 医療組織の例 Webアプリケーションのセキュリティを迅速に実装 Web アプリケーションのセキュリティを迅速に実装 リモートユーザ カンザスシティのデータセンター 医療スタッフ ITスタッフ 事前定義されたポリシー Web によりSharePointを 数分で導入 ITスタッフ SharePoint ITスタッフ Exchange ITスタッフ ネットワーク ハッカー BIG-IP 8900 LTM/ASM ソリューション セキュリティとアベイラビリティを簡単に実現 セキ リティとア イラビリティを簡単に実現 • • • • • • ポリシ ポリシー:: 攻撃の防御 - L7 DoSおよび ブルートフォース 好ましくないクライアントは制御される 必要なクライアントにサービスが供給される SharePointの迅速な導入 事前定義されたセキュリティポリシー 事前定義されたセキ リティポリシ SharePointがどのようにアクセスされ、動作するかを表示 コンプライアンスの範囲内で迅速な運用開始 Copyright © 2009 All rights reserved F5 Networks Japan K.K. コスト効率の高い データセンター・プラットフォーム アプリケーション層 を表示して、何が起 こっているかを確認 コロンブスの支店 ITスタッフ ITスタッフ 医療スタッフ Web アプリケーションの 可視性とレポート: シグネチャ、侵害、URI Exchange BIG-IP 6900 LTM/ASM BIG-IP Application Security Manager 27 ヨーロッパ地域の顧客Web ヨーロッパ地域の顧客 Webサイト サイト ケープタウンのデータセンタ ー ITスタッフ ユーザ Web Linux ネットワーク 攻撃者 ADC 問題 攻撃を認識しておらず防御もできない エンドユーザのパフォーマンスが低下している 現在のネットワーク・ファイアウォールは攻撃を確認できない アクセラレーションとセキュリティの独立したソリューションは管理が困難 アクセラレ ションとセキ リティの独立したソリ ションは管理が困難 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 28 ヨーロッパ地域の顧客にASM ヨーロッパ地域の顧客に ASMおよび およびWA WAを導入 を導入:: 「攻撃されていたことすら知りませんでした」 ケープタウンのデータセンター ITスタッフ 攻撃を認識 Web Linux ネットワーク BIG-IP 6900 ユーザ LTM WA ASM 攻撃者 プラットフォームでのアベイラビリティ、 セキュリティ、アクセラレーション ソリューション アプリケーション・デリバリの統合 • ユーザパフォーマンスが10倍向上 • 帯域幅が50%削減 • 攻撃および脅威の防御(SQLインジェクション、シグネチャ) • 攻撃の可視性 • 大規模な攻撃中はリソースをASMに提供 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 29 フォーチュン 500 500掲載企業 掲載企業 Webアプリケーションの脆弱性 Web アプリケーションの脆弱性 リモートユーザ ニューヨークのデータセンター チューリッヒのデータセンター ITスタ フ ITスタッフ ITスタ ITスタッフ ハッカー Web Domino ネットワーク Web Domino ネットワーク ADC ADC エグゼクティブ 問題 銀行業務のWebサービスが重要であるにもかかわらず…. ブルートフォース・ログイン攻撃によりWebサイトが妨害されている レイヤ7 DoS攻撃により情報にアクセスできない 攻撃によりWebサーバが過負荷状態のため応答速度が低下している 攻撃元を確認できない、またはリクエストを低速化できない Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 30 フォーチュン 500 500掲載企業 掲載企業 攻撃からのアプリケーションの保護 リモートユーザ 正しいユ ザがアクセスを 正しいユーザがアクセスを 獲得し、ハッカーはブロックされる ニューヨークのデータセンター チューリッヒのデータセンターと支店 ITスタッフ タ ダウンタイムを 回避 ITスタッフ ハッカー IPアドレスは自動的に 特定され、絞り込まれる Web Web Domino ネットワーク Domino ネットワーク BIG-IP 8900 ASM ポリシー: 攻撃の防御 – ブルートフォース およびL7 DoS D S BIG-IP 6900 ASM 検知と3つの防御手法に 基づいて攻撃を特定 ソリューション ソリュ ション 好ましくないクライアントは修正され、必要なクライアントにサービスが 提供される アプリケーションのアベイラビリティ向上 自動制御が介在 ながら価値 向 自動制御が介在しながら価値の向上にフォーカス カ 企業でのセキュリティ規格のコンプライアンス達成を支援 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 31 大規模な電子商取引 拡張性と可視性の問題 シドニーのデータセンター リモートユーザ ITスタッフ 香港のデータセンター ITスタッフ Web Linux ネットワーク ハッカー ADC Web Linux ネットワーク ADC 問題 アプリケーション・トラフィックが可視化 Webアプリケーションのセキュリティが必要 拡張性の問題によりアプリケーション・ファイアウォールを導入できない WAFとADCを別々に管理するのは困難 アプリケーション・セキュリティ・プラットフォームのコスト Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 32 大規模な電子商取引 データセンターのアプリケーション保護 リモートユーザ シドニーのデータセンター ITスタッフ アプリケ ションセキュリティ アプリケーションセキュリティ の可視性とレポート 香港のデータセンター ITスタッフ Web Linux ネットワーク Web Linux ネットワーク VIPRION ハッカー 攻撃元を表示し、IP アドレスをブロック 容易に拡張可能なワールド クラスのデータセンター・ プラットフォーム BIG-IP 8900 LTM/ASM 管理が容易な プラットフォームで統合を実現 プラットフォ ムで統合を実現 ソリューション ソリュ ション ワールドクラスのデータセンター・プラットフォーム 複数サーバの拡張性の問題を軽減 管理が容易な単一ユニット 攻撃元を確認し、サーバへのリクエストを低速化 アプリケーション・セキュリティの可視性とレポート Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 33 F5社と F5 社と Splunk Splunk社の連携 p 社の連携 ■ F5 は Splunk 社 と 協 力 し て 、 Splunkコアアプリケーションへの アドオン「アプリケーション」とし て イ ン ス ト ー ル 可 能 な ASM レ ポーティング&分析テンプレート の開発を行ってきました。 F5とSplunk社のセキュリティ・エ キスパート達は、詳細な情報を 求 め る ASM の 上 級 ユ ー ザ の ニーズに特化したASMプラグイ ンを設計しました。 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 34 まとめ ■ L7攻撃はハッカ L7攻撃はハッカーの常套手段 の常套手段 ■ Webアプリケーションの保護は多くの企業の課題 ■ ASMはWebアプリケ ASMはWebアプリケーションを保護し ションを保護し、簡単な構成オプ 簡単な構成オプ ションを提供 ■ ASMは各種のコンプライアンス準拠を提供 ■ ASMはアプリケーションの詳細な可視性とレポートを提供 ■ ASMおよびWAの統合を実現し、アプリケ ASMおよびWAの統合を実現し アプリケーションの ションの セキュリティ保護とアクセラレーションを提供 Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 35 ありがとうございました THANK YOU お問い合わせ:F5 First Contact 【お問い合わせ先】 www.f5networks.co.jp/fc/ 03-5114-3210 www.f5networks.co.jp/fc/ END END Copyright © 2009 All rights reserved F5 Networks Japan K.K. BIG-IP Application Security Manager 37
© Copyright 2024 Paperzz
