CSA Congress 参加報告 Software Defined Perimeter 2014/10/27 日本電気(株) 小川隆一 © NEC Corporation 2014 1 SDP (Software defined perimeter) • What is SDP? – Need to know (デフォルト拒否)ベースのNWアクセス制 御モデル • 外部アクセスに対してNW内部の情報を秘匿(外からIPアドレスは 見えない) • アクセス元(クライアント)は厳重な身体検査の後アクセスを許可 される – 政府関係の機密保護で用いられる方式をクラウドサービ スで実装 • SDNとは直接関係ないが、制御層とデータ層の分離アーキテク チャは採用 • 実装を重視。成熟した技術を使い、新技術は提案しない – CSAでフレームワークを構築、標準化 • SDP WGにて仕様ドキュメント化(v1.0)、試験実装・ハッカソン実施 © NEC Corporation 2014 2 SDP (Software defined perimeter) • 採用技術 – 閉じたFWポートにおけるシングルパケット認可 (SPA: Single packet authorization) – クライアント認証時アテステーションでアプリケー ションの正当性チェック – クライアントデバイスのトラストをPKIで担保 – 双方向TLS でコネクション設定 © NEC Corporation 2014 3 SDP (Software defined perimeter) • アーキテクチャ Device identity PKI User identity Identity SDP controller NW configuration Client Access SDP gateway (dynamic FW) Application servers © NEC Corporation 2014 4 SDP (Software defined perimeter) • 技術 Device identity 機器のトラスト担保 PKI SDP controller Mutual TLSで セキュアコネクション Access Mutual TLSで セキュアコネクション アテステーションで クライアント側アプリ チェック SDP gateway (Dynamic FW) シングルパケット認可 (SPA)FWの穴あけ © NEC Corporation 2014 User identity Identity NW configuration Client チェック完了で 初めて設定 ユーザロールを チェック Application servers 5 How it works* • 端末のSDPクライアント(SDPブラウザ)を起動 • コントローラ・端末間で相互TLSによりセッションをはる • 相互認証はPKIによる署名 • 端末側のアプリが正当であることを検証(アテステーション ≒ 検疫) • ユーザ認証は既存方式で行う • SPAによりSDPゲートウェイに穴を開ける • アクセスできるサーバアドレスがコントローラに通知される • ユーザはSDPブラウザ上で利用可能なサービスを選択 • SDPクライアントとサービスサーバの総合TLSセッションが確 立 *一部推定を含む © NEC Corporation 2014 6 防御できる脅威・できない脅威 • 対応できる脅威(悪意の第三者の攻撃) – DoS – OWASP Top10 • プロトコルインジェクション、セッションハイジャック、クロスサイトスク リプティング・・ – Man in the middle – Directed attacks • NWスキャン、Pass the hash、PWクラッキング・・ • できない脅威 – 正規ユーザ不正(顧客) – 管理者不正(事業者) © NEC Corporation 2014 7 既存方式との比較 • VPNとの相違 – ソリューションとして All in one である • 端末アプリのアテステーションまできちんとやる • VPNの場合別途検疫ソリューションが必要 – イントラ情報の隠蔽 • 内部のコンフィグは端末認証・アテステーション、ユー ザ認証が完了するまで非開示 – 新技術は何もない、しかしソリューションとして優 れている ⇒ Apple 的 © NEC Corporation 2014 8 SDPの標準化 • CSA SDP WGで推進中 – フレームワークの策定 – リファレンス実装、ハッカソン実施 – インタオペラビリティを担保する規格ではない • SDNとは独立な関係 – SDNはSLO/SLA.や経路制御全般のプロトコルを作る – SDPはセキュアプライベートNWを作る規格 – SDN拡張としてSDPを定義するかは宿題 © NEC Corporation 2014 9 ベンダーの動き • ベライゾンが実装で先行 – 自社のSDPネットワークをMPLSベースで作り、クラ ウド間のセキュア end to end NWを提供 – セキュアなクラウド横断作業空間を実現 – コカコーラ社が early adapter グローバル企業のニーズにマッチしている © NEC Corporation 2014 10 9月実施のハッカソンの経過 (SDP WGアナウンス) • The second CSA Hackathon is now closed. Billions of packets were fired from more than 100 countries, but none succeeded in the attempt to breach the SDP protected public cloud. • Attack statistics as of Day 14 are, as follows: Total dropped packets: 2.9 billion Number successful Single Packet Authorizations: 0 Number successful mutual TLS authentications: 0 Number successful user authentications: 0 © NEC Corporation 2014 11 END © NEC Corporation 2014 12
© Copyright 2024 Paperzz
