マイクロセグメンテーションの考え方とその実装 ~セキュリティリスクの現状把握、ポリシーの策定、実装を実現するには?~ パロアルトネットワークス株式会社 SE Manager 井上高範 マイクロセグメンテーション 2 | ©2016, Palo Alto Networks. Confidential and Proprietary. 年金機構のセキュリティ対策の課題 インターネットの入り口に セキュリティ対策を強化 東京 オフィス Internet Internet WAN 福岡 オフィス データセンター ADがターゲットサーバ として狙われている 社内でのセキュリティ 対策が不十分で感染 が拡大 年金 情報 基幹サーバ 専用アプリを使用した 閲覧・更新 窓口装置 3 | ©2016, Palo Alto Networks. Confidential and Proprietary. 物理的なセグメンテーション 物理的なセグメンテーションはされているが・・・ 出典:http://www.galinsky.com/buildings/digitalbeijing/ 出典:https://www.nplus-net.jp/service/datacenter/index.html 4 | ©2016, Palo Alto Networks. Confidential and Proprietary. 侵入されてとられるもの? 現場にいく必要あり 調査に限界 持ち出しに限界 5 | ©2016, Palo Alto Networks. Confidential and Proprietary. ネットワークに存在する重要なもの 世界中から 見つからない限り 調査し放題 特許情報 顧客情報 決算書 見つからない限り 持ち出し放題 データのほうが重要で盗まれやすい 6 | ©2016, Palo Alto Networks. Confidential and Proprietary. ネットワークのマイクロセグメンテーション 重要なセグメントを分けることによるセキュリティの強化 Internet インターネットの 入口・出口 Cloud マイナンバーシス テムと社内ネット ワークの分離 7 | ©2016, Palo Alto Networks. Confidential and Proprietary. 社内ネットワーク 間の通信(営業所、 工場、協力会社 等) クラウド環境 (プライベート、 パブリック、ハイブ リットクラウド) モバイル環境 今までのセグメンテーション 今までのファイアウォール アクセス制御のみ実施 ファイアウォール (ポートベース) セキュリティ対策が欠けている パフォーマンスが出ない インターネットと同等のセキュリティでない 8 | ©2016, Palo Alto Networks. Confidential and Proprietary. 古い機械では検知出来ないものがある 9 | ©2016, Palo Alto Networks. Confidential and Proprietary. セグメンテーションに必要なセキュリティ対策 今までのファイアウォール ファイアウォール (ポートベース) セキュリティ対策と しては十分でない パロアルトネットワークス ファイアウォール (アプリ識別) 復号化 IPS/IDS ウイルス対策 スパイウェア対策 標的型対策 ボットネット検出 ログ記録・可視化 ファイル転送記録 10 | ©2016, Palo Alto Networks. Confidential and Proprietary. 可視化し通信を記録 することで外部で解 析し問題時に対処 新しい脅威の 検出と対処 マイクロセグメンテーションの強み 現状 マイクロ セグメンテーション インターネットの 入り口のみ対策 重要なセグメント毎に 対策を実施 独立した専用機を並べる 必要なセキュリティ対策を 全て実施 セキュリティ機器間での 連携なし セキュリティ機能間で 連携することで検知を強化 11 | ©2016, Palo Alto Networks. Confidential and Proprietary. セグメンテーションすべき箇所 重要な情報がある箇所をセグメンテーション 物理ネットワーク -インターネット、データセンター、海外拠点、工場、協力会社、IOT サーバの役割 -Webサーバ、Appサーバ、DBサーバ、重要度、運用、開発 業務 -マイナンバー、開発環境、設計(CAD)、特許、経理 ユーザ -部署、プロジェクト 12 | ©2016, Palo Alto Networks. Confidential and Proprietary. マイクロセグメンテーション例: データセンター Webサーバ 13 | ©2016, Palo Alto Networks. Confidential and Proprietary. アプリサーバ DBサーバ マイクロセグメンテーション例: データセンター 用途ごとにセグメントを分ける 目的毎にセグメントを分ける 本番環境 テスト環境 L7レベルで可視化 (アプリケーション) L7レベルで制御 (アプリケーション) 本番環境(最重要) Webサーバ アプリサーバ DBサーバ L7レベルで制御 (HTTP, DNS, SSL) L7レベルで制御 (HTTP) L7レベルで制御 (SQL, Oracle) ウイルス対策 ウイルス対策 ウイルス対策 ウイルス対策 ウイルス対策 スパイウェア対策 スパイウェア対策 スパイウェア対策 スパイウェア対策 スパイウェア対策 脆弱性攻撃対策 脆弱性攻撃対策 脆弱性攻撃対策 脆弱性攻撃対策 脆弱性攻撃対策 ボットネットの確認 ボットネットの確認 ボットネットの確認 ボットネットの確認 ボットネットの確認 14 | ©2016, Palo Alto Networks. Confidential and Proprietary. マイクロセグメンテーション例: 工場 工場ネットワークの制御 IOT/M2Mの接続を制御 工場端末 工場サーバ 無線環境 L7レベルで可視化 (アプリケーション) L7レベルで可視化 (アプリケーション) L7レベルで制御 (アプリケーション) 工場IOT環境 ウイルス対策 ウイルス対策 ウイルス対策 ウイルス対策 スパイウェア対策 スパイウェア対策 スパイウェア対策 スパイウェア対策 脆弱性攻撃対策 脆弱性攻撃対策 脆弱性攻撃対策 ボットネットの確認 ボットネットの確認 ボットネットの確認 L4レベルで制御と可視化 (アプリケーション) 脆弱性攻撃対策 ボットネットの確認 ファイル制御 15 | ©2016, Palo Alto Networks. Confidential and Proprietary. マイクロセグメンテーション例: ユーザ(現状の課題) データセンター プロジェクトA 1.1.1.1 2.2.2.1 1.1.1.2 3.3.3.3 2.2.2.2 出張先でIPが変わると サーバにアクセス出来ない プロジェクトB 2.2.2.2 1.1.1.1 1.1.1.2 工場 1.1.1.1 1.1.1.2 16 | ©2016, Palo Alto Networks. Confidential and Proprietary. 本社 2.2.2.1 2.2.2.2 2.2.2.1 人事異動の度にサーバ への登録を行っていて 運用負荷が高い マイクロセグメンテーション例: ユーザで制御 データセンター プロジェクトA Aさん Cさん Bさん Dさん 3.3.3.3 プロジェクトB Cさん Aさん AD情報連携 Bさん 工場 本社 Dさん Aさん = 1.1.1.1 ⇒ 3.3.3.3 Bさん = 1.1.1.2 Cさん = 2.2.2.1 Aさん Bさん 17 | ©2016, Palo Alto Networks. Confidential and Proprietary. Cさん Dさん ADサーバ Dさん = 2.2.2.2 クラウド基盤の中で セグメントを分ける マイクロセグメンテーション例: クラウド基盤 クラウド基盤(AWS、Azuru) アメリカ用サーバー アメリカ クライアントから VPNで接続 18 | ©2016, Palo Alto Networks. Confidential and Proprietary. 全社用サーバー 日本 日本用サーバー 中国用サーバー 中国 VPNで社内とクラ ウドサービスを接続 マイクロセグメンテーション事例 内部脅威対策 モバイル対策 セグメンテーション ユーザ識別 アプリケーション制御 SSL-VPN AV/IPS/IDS URL Filter 支店・グループ会社 支店・グループ会社 Internet Internet 海外拠点・グループ会社 セグメンテーション Enterprise Network 入口・出口対策 GW Firewall(L4~L7) AV/IPS/IDS URL Filter サンドボックス検査 感染端末検出 19 | ©2016, Palo Alto Networks. Confidential and Proprietary. 拠点接続点対策 海外拠点・グループ会社 公開サーバー対策 拠点セキュリティ対策 出口対策 SSL復号化 IPS 管理接続制御 GW Firewall(L4~L7) アプリケーション制御 AV/IPS/IDS URL Filter サンドボックス検査 感染端末検出 マイクロセグメンテーションで実現できること ① アプリケーション とユーザレベルで アクセスを制御 ② 既知未知の脅威 の侵入を防ぎ ウイルスの拡散 を防ぐ ③ 通信や脅威を 可視化しログや レポートに記録 SOCやCERTでセグメントの情報を取得し解析に利用 20 | ©2016, Palo Alto Networks. Confidential and Proprietary. マイクロセグメンテーションを 構築するステップ 21 | ©2016, Palo Alto Networks. Confidential and Proprietary.
© Copyright 2024 Paperzz
