マイクロセグメンテーションの考え方とその実装

マイクロセグメンテーションの考え方とその実装
~セキュリティリスクの現状把握、ポリシーの策定、実装を実現するには?~
パロアルトネットワークス株式会社
SE Manager
井上高範
マイクロセグメンテーション
2 | ©2016, Palo Alto Networks. Confidential and Proprietary.
年金機構のセキュリティ対策の課題
インターネットの入り口に
セキュリティ対策を強化
東京
オフィス
Internet
Internet
WAN
福岡
オフィス
データセンター
ADがターゲットサーバ
として狙われている
社内でのセキュリティ
対策が不十分で感染
が拡大
年金
情報
基幹サーバ
専用アプリを使用した
閲覧・更新
窓口装置
3 | ©2016, Palo Alto Networks. Confidential and Proprietary.
物理的なセグメンテーション
物理的なセグメンテーションはされているが・・・
出典:http://www.galinsky.com/buildings/digitalbeijing/
出典:https://www.nplus-net.jp/service/datacenter/index.html
4 | ©2016, Palo Alto Networks. Confidential and Proprietary.
侵入されてとられるもの?
現場にいく必要あり
調査に限界
持ち出しに限界
5 | ©2016, Palo Alto Networks. Confidential and Proprietary.
ネットワークに存在する重要なもの
世界中から
見つからない限り
調査し放題
特許情報
顧客情報
決算書
見つからない限り
持ち出し放題
データのほうが重要で盗まれやすい
6 | ©2016, Palo Alto Networks. Confidential and Proprietary.
ネットワークのマイクロセグメンテーション
重要なセグメントを分けることによるセキュリティの強化
Internet
インターネットの
入口・出口
Cloud
マイナンバーシス
テムと社内ネット
ワークの分離
7 | ©2016, Palo Alto Networks. Confidential and Proprietary.
社内ネットワーク
間の通信(営業所、
工場、協力会社
等)
クラウド環境
(プライベート、
パブリック、ハイブ
リットクラウド)
モバイル環境
今までのセグメンテーション
今までのファイアウォール
アクセス制御のみ実施
ファイアウォール
(ポートベース)
セキュリティ対策が欠けている
パフォーマンスが出ない
インターネットと同等のセキュリティでない
8 | ©2016, Palo Alto Networks. Confidential and Proprietary.
古い機械では検知出来ないものがある
9 | ©2016, Palo Alto Networks. Confidential and Proprietary.
セグメンテーションに必要なセキュリティ対策
今までのファイアウォール
ファイアウォール
(ポートベース)
セキュリティ対策と
しては十分でない
パロアルトネットワークス
ファイアウォール
(アプリ識別)
復号化
IPS/IDS
ウイルス対策
スパイウェア対策
標的型対策
ボットネット検出
ログ記録・可視化
ファイル転送記録
10 | ©2016, Palo Alto Networks. Confidential and Proprietary.
可視化し通信を記録
することで外部で解
析し問題時に対処
新しい脅威の
検出と対処
マイクロセグメンテーションの強み
現状
マイクロ
セグメンテーション
インターネットの
入り口のみ対策
重要なセグメント毎に
対策を実施
独立した専用機を並べる
必要なセキュリティ対策を
全て実施
セキュリティ機器間での
連携なし
セキュリティ機能間で
連携することで検知を強化
11 | ©2016, Palo Alto Networks. Confidential and Proprietary.
セグメンテーションすべき箇所
重要な情報がある箇所をセグメンテーション
物理ネットワーク
-インターネット、データセンター、海外拠点、工場、協力会社、IOT
サーバの役割
-Webサーバ、Appサーバ、DBサーバ、重要度、運用、開発
業務
-マイナンバー、開発環境、設計(CAD)、特許、経理
ユーザ
-部署、プロジェクト
12 | ©2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション例: データセンター
Webサーバ
13 | ©2016, Palo Alto Networks. Confidential and Proprietary.
アプリサーバ
DBサーバ
マイクロセグメンテーション例: データセンター
用途ごとにセグメントを分ける
目的毎にセグメントを分ける
本番環境
テスト環境
L7レベルで可視化
(アプリケーション)
L7レベルで制御
(アプリケーション)
本番環境(最重要)
Webサーバ
アプリサーバ
DBサーバ
L7レベルで制御
(HTTP, DNS, SSL)
L7レベルで制御
(HTTP)
L7レベルで制御
(SQL, Oracle)
ウイルス対策
ウイルス対策
ウイルス対策
ウイルス対策
ウイルス対策
スパイウェア対策
スパイウェア対策
スパイウェア対策
スパイウェア対策
スパイウェア対策
脆弱性攻撃対策
脆弱性攻撃対策
脆弱性攻撃対策
脆弱性攻撃対策
脆弱性攻撃対策
ボットネットの確認
ボットネットの確認
ボットネットの確認
ボットネットの確認
ボットネットの確認
14 | ©2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション例: 工場
工場ネットワークの制御
IOT/M2Mの接続を制御
工場端末
工場サーバ
無線環境
L7レベルで可視化
(アプリケーション)
L7レベルで可視化
(アプリケーション)
L7レベルで制御
(アプリケーション)
工場IOT環境
ウイルス対策
ウイルス対策
ウイルス対策
ウイルス対策
スパイウェア対策
スパイウェア対策
スパイウェア対策
スパイウェア対策
脆弱性攻撃対策
脆弱性攻撃対策
脆弱性攻撃対策
ボットネットの確認
ボットネットの確認
ボットネットの確認
L4レベルで制御と可視化
(アプリケーション)
脆弱性攻撃対策
ボットネットの確認
ファイル制御
15 | ©2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーション例: ユーザ(現状の課題)
データセンター
プロジェクトA
1.1.1.1
2.2.2.1
1.1.1.2
3.3.3.3
2.2.2.2
出張先でIPが変わると
サーバにアクセス出来ない
プロジェクトB
2.2.2.2
1.1.1.1
1.1.1.2
工場
1.1.1.1
1.1.1.2
16 | ©2016, Palo Alto Networks. Confidential and Proprietary.
本社
2.2.2.1
2.2.2.2
2.2.2.1
人事異動の度にサーバ
への登録を行っていて
運用負荷が高い
マイクロセグメンテーション例: ユーザで制御
データセンター
プロジェクトA
Aさん
Cさん
Bさん
Dさん
3.3.3.3
プロジェクトB
Cさん
Aさん
AD情報連携
Bさん
工場
本社
Dさん
Aさん = 1.1.1.1 ⇒ 3.3.3.3
Bさん = 1.1.1.2
Cさん = 2.2.2.1
Aさん
Bさん
17 | ©2016, Palo Alto Networks. Confidential and Proprietary.
Cさん
Dさん
ADサーバ
Dさん = 2.2.2.2
クラウド基盤の中で
セグメントを分ける
マイクロセグメンテーション例: クラウド基盤
クラウド基盤(AWS、Azuru)
アメリカ用サーバー
アメリカ
クライアントから
VPNで接続
18 | ©2016, Palo Alto Networks. Confidential and Proprietary.
全社用サーバー
日本
日本用サーバー
中国用サーバー
中国
VPNで社内とクラ
ウドサービスを接続
マイクロセグメンテーション事例
内部脅威対策
モバイル対策
セグメンテーション
ユーザ識別
アプリケーション制御
SSL-VPN
AV/IPS/IDS
URL Filter
支店・グループ会社
支店・グループ会社
Internet
Internet
海外拠点・グループ会社
セグメンテーション
Enterprise Network
入口・出口対策
GW Firewall(L4~L7)
AV/IPS/IDS
URL Filter
サンドボックス検査
感染端末検出
19 | ©2016, Palo Alto Networks. Confidential and Proprietary.
拠点接続点対策
海外拠点・グループ会社
公開サーバー対策
拠点セキュリティ対策
出口対策
SSL復号化
IPS
管理接続制御
GW Firewall(L4~L7)
アプリケーション制御
AV/IPS/IDS
URL Filter
サンドボックス検査
感染端末検出
マイクロセグメンテーションで実現できること
①
アプリケーション
とユーザレベルで
アクセスを制御
②
既知未知の脅威
の侵入を防ぎ
ウイルスの拡散
を防ぐ
③
通信や脅威を
可視化しログや
レポートに記録
SOCやCERTでセグメントの情報を取得し解析に利用
20 | ©2016, Palo Alto Networks. Confidential and Proprietary.
マイクロセグメンテーションを
構築するステップ
21 | ©2016, Palo Alto Networks. Confidential and Proprietary.