Slide 1

31 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

ネットワークセキュリティのための標準技術

Trusted Network Connect

ジュニパーネットワークス株式会社パートナー技術本部

(2)

目次

TNC と TCG の紹介

TNC とは?

どんな問題を

TNCで解決できるのか?

TNCはどうやって問題を解決するのか?

TNCのアーキテクチャと標準技術

TNCへの参加とTNC標準の認証

TNCのメリット

ケーススタディ

まとめと参照情報のポインタ

(3)

Trusted Network Connect (TNC)

ネットワークセキュリティのためのオープンなアーキテクチャ

完全にベンダーに対して中立の存在

トラステッドコンピューティングを通じた強力なセキュリティ

元々は

NAC(Network Access Control)のために作られた物だが、現在はネットワ

ークセキュリティ全体へより広く対応している

ネットワークセキュリティのためのオープンスタンダード

全ての設計仕様がオープン

(TCGウェブサイト上からも取得可能)

2005年に初めて準拠した製品が出荷

Trusted Computing Group(TCG)で開発

標準化グループ

100以上の企業が参加

(4)

TCG: 信頼できるシステムの標準規格

モバイルデバイス

ユーザーやデバ

イスの認証

安全なストレージ

アプリケーション

•ソフトウェアスタック

•OS

•ウェブサーバー

•認証

•データー保護

セキュリティ

ハードウェア

ネットワーク

セキュリティ

プリンタなどの

イメージングデバイス

仮想化プラットフォーム

(5)

Trusted Platform Module(TPM) とは?

PC/デバイスのマザーボード(主基板)上に実装されるセキュリティハードウェア

TCGから仕様は公開されている

耐タンパ性をもち、プラットフォーム内で独立することでソフトウェア攻撃にも耐性を持つ

今日、現在ではほとんどの企業向け

PCに採用されている

“オプトイン(ユーザーの同意なしに利用不可)”のため、デフォルトでは必ず使用されない状態

提供される機能

安全な鍵の保管場所を提供

暗号化の機能を提供

整合性チェックをし、リモートに対して機器の状態を証明

アプリケーションでの利用

強力なユーザー/機器認証を提供

セキュアなストレージ(鍵の保管場所など)を提供

(6)

TNCが解決する問題

ネットワークとエンドポイントの可視化

誰が、何がネットワークを使用しているのか?

ネットワーク上のそれらのデバイスはセキュアか?

ユーザーの振る舞いは適切か?

ネットワークへのエンフォースメント

明示的に許可をされた端末、振る舞い以外をブロックする

デバイスやユーザーそれぞれ個別に適切なアクセスレベルの適用

デバイスの回復

“健康でない”デバイスや脆弱なデバイスを隔離して回復を行う

セキュリティシステムとしてのインテグレーション

(7)

基本的な

NAC のアーキテクチャ

Access

Requestor

(AR)

Policy

Enforcement

Point

(PEP)

VPN

Policy

Decision

Point

(PDP)

(8)

MAP 他のセキュリティデバイスとの接続

Access

Requestor

(AR)

Policy

Enforcement

Point

(PEP)

Policy

Decision

Point

(PDP)

Metadata

Access

Point

(MAP)

IF-MAP対応

センサーや

フロー

コントローラ

脅威検知等

(9)

セキュリティの自動化によるつながり

データ漏洩防止

侵入検知

クラウドやサーバー

ネットワークスイッチ

無線

LAN

ファイアウォール

IPアドレス

マネジメント

IPAM)

脅威管理

SIM / SEM)

資産管理ツール

AAA

ICS/SCADA

セキュリティ

物理セキュリティ

エンドポイント

セキュリティ

(NAC)

IF-MAP

プロトコル

Metadata

Access

Point

MAP)

(10)

TNCの実装例

ヘルスチェック

振る舞いチェック

ユーザーごとのアクセスポリシー

(11)

Health Check

利用ポリシーに違反

Windows 7

 SP1

× OSHotFix MS13-077

× OSHotFix MS13-076

 AV - hogehoge scan 8.0

 Firewall 利用

Access Requestor

利用ポリシーに準拠

Windows 7

 SP1

 OSHotFix MS13-077

 OSHotFix MS13-076

 AV – fugafuga AV 10.1

 Firewall利用

Production Network

Policy Enforcement

Point

Policy Decision

Point

NAC ポリシー

Windows XP •SP3 •OSHotFix 2499 •OSHotFix 9288 •AV (one of)

• fugafuga AV 10.1 • hogehoge scan 8.0 •Firewall 利用

(12)

振る舞いチェック

Access Requestor

Policy

Enforcement

Point

Remediation

Network

Policy Decision

Point

NAC Policy

•No P2P file sharing

•No spamming

•No attacking others

Metadata

Access

Point

Sensors

and Flow

Controllers

!

!

!

!

(13)

ユーザーごとのアクセスポリシー

Access Requestor

ジョー

– 財務

Windows 7

 SP1

 OSHotFix MS13-077

 OSHotFix MS13-076

 AV – fugafuga AV 10.1

 Firewall利用

Policy

Enforcement

Point

Policy Decision

Point

NAC Policy

•Users and Roles

•Per-Role Rules

Metadata

Access

Point

Sensors

and Flow

Controllers

メアリー

– 開発部隊

ゲストユーザー

(14)

TPMを利用したシステムの整合性チェック

利用ポリシーに準拠

TPM verified

BIOS

OS

Drivers

業務用

ネットワーク

Access Requestor

Policy Decision

Point

Policy Enforcement

Point

NAC Policy

TPM enabled •BIOS •OS •Drivers •Anti-Virus SW

TPM –

Trusted Platform Module

• TPMはPCに組み込み済み

• Hardwareを信頼できる

• 重要なコンポーネントをトラス

テッドブートから監視

• PDPはPTS interface をとおし

て、PCの構成の整合性をチェッ

クし、必要な場合に回復を促す

(15)

クライアントを導入できないエンドポイント

Access Requestor

(エージェントが導入不可

な組み込み機器など)

Policy Decision

Point

Policy

Enforcement

Point

Metadata

Access

Point

Sensors

and Flow

Controllers

NAC Policy

•Place Printers on

Printer Network

•Monitor Behavior

!

!

隔離、回復用

ネットワーク

!

!

(16)

TNC のアーキテクチャ図

Policy Decision

Point

Policy

Enforcement

Point

Access Requestor

Verifiers

Verifiers

t

Collector

Collector

Integrity Measurement

Collectors (IMC)

Integrity Measurement

Verifiers (IMV)

IF-M

IF-IMC

IF-IMV

Network

Access

Requestor

Policy

Enforcement

Point (PEP)

Network

Access

Authority

IF-T

IF-PEP

TNC Server

(TNCS)

TNC Client

(TNCC)

IF-TNCCS

TSS

Platform Trust

Service (PTS)

IF-PTS

Metadata

Access

Point

Sensors

and Flow

Controllers

Metadata

Access

Point

IF-MAP

IF-MAP

IF-MAP

Sensor

IF-MAP

Flow

Controller

IF-MAP

(17)

TPM と TNCでルートキットを排除

“偽装端末”は時として重篤なリスクをもたらす

TPM はブートシーケンスを検証し、監査する

デバイスの状態をハッシュ化して

PCRに保存(署名もする)

PCRの値はハードウェアリスタートしない限り外部からはリセットできない

→ PCの構成を変更したら手を加えたことが検出できる

TNCは 端末をネットワークに接続させるときに以下のことを行う

PDP はTPMとセキュアな通信を行えるように準備する

TPM はPCRの値をPDPへ送信する (TPM内で署名するので改竄できない)

PDP は“健全な状態” の値と比べる

健全な状態の値と違う場合、信頼できない端末として隔離される

(18)

TNC フェデレーション

セキュリティドメイン間で、TNCのステータスを融通

必要な情報を必要な相手と共有

(Consortia, coalitions, partnerships, outsourcing, and alliances)

機器のスケールを越える大きなネットワークなど

対応機能

デバイスステータスを伴うシングルサインオン

ヘルスチェックしてローミング

どうやって?

SAML を使用

利用用途

ネットワークローミング

組織間での情報の共有

機器のスケールにとらわれない設計が可能

Role=Executive

Device=Healthy

セキュリティを提供するドメイン

Asserting Security

Domain (ASD)

(19)

TNC と SCAP

(セキュリティ設定共通化手順)

Access

Requestor

(AR)

Policy

Enforcement

Point

(PEP)

Policy

Decision

Point

(PDP)

Metadata

Access

Point

(MAP)

Sensors,

Flow

Controllers

SCAP

クライアント

SCAP

解析ソフト

SCAP

外部サーバー

(20)

まとめ:

TNCの柔軟なアーキテクチャ

アセスメントのオプション

識別情報、ステータス、振る舞い、場所

等々

TPMを追加すればハードウェアベースのアセスメントも可能

ネットワークに入る前にもチェックが出来、接続後も監視を続けることが可能

アクセスコントロールのオプション

802.1X、 ファイアウォール、VPNゲートウェイ、 DHCP、 ソフトウェアベース

クライアントを導入できないデバイスも許容できるオプション

NACに対応出来ない機器

プリンタ、電話、オートメーション制御機器、ゲストユーザーなど

情報を他のドメインと共有することが可能

(21)

まとめ:

TNC のメリット

オープンスタンダード!!

独自ではないため、マルチベンダー環境でいいとこ取りが出来る

インターオペラビリティーを持つ

ユーザーは導入に選択をすることが出来る

仕様を確認すれば第三者の検証がいつでも可能

既存ネットワークの効果を最大限に活かすことが出来る

非常に高い投資効果(

ROI)を期待できる

将来に向けてのロードマップ

標準規格のみでのフル構成を可能に

Trusted Platform Module (TPM)のサポート

(22)

TNC を取り入れている企業

Access

Requestor

Policy Decision

Point

Policy

Enforcement

Point

Metadata

Access

Point

Sensors, Flow

Controllers

(23)

Microsoft NAP インターオペラビリティ

IF-TNCCS-SOH という“オープン規格”

Microsoft の Statement of Health (SoH) プロトコル

Microsoftにより、TCGへオープン規格として寄与された

TCGによって、新しいTNC規格の一つ、IF-TNCCS-SOHとして公開

利用できる

Windowsシリーズ

Windows XP SP3以降、Windows Server 2008以降で対応

他の

TNCベンダーでも組み込まれている

実装の概要

NAPサーバーはTNCクライアントを追加アプリケーションなしでチェック可能

(NAPクライアントはTNCサーバーから追加アプリケーションなしでヘルスチェック可能)

IF-TNCCS-SOH を実装すればMicrosoftでなくても箱出しでそのまま利用できる

NAP or TNC

Server

NAP or TNC

Client

IF-TNCCS-SOH

(24)

IETF と TNC

IETF NEA(Network Endpoint Assessment) WG

ゴールの設定:

普遍的に使用できるNACクライアント、NACサー

バのプロトコルに合意を得る

Cisco所属の方とTNCワーキンググループが共同で作業

TNC プロトコルは徐々にRFCへ

PA-TNC (RFC 5792) 、PB-TNC (RFC 5793)

上記は

TCGの IF-M 1.0 と IF-TNCCS 2.0と同じ物

Cisco、Intel、Juniper、Microsoft、Symantecによる共同編集

(25)

OSSでTNCをサポートしているソフトウェア

たくさんの

OSSがTNCをサポートしている

University of Applied Arts and Sciences in Hannover, Germany (FHH)

http://trust.inform.fh-hannover.de

libtnc

http://sourceforge.net/projects/libtnc

OpenSEA 802.1X supplicant

http://www.openseaalliance.org

FreeRADIUS

http://www.freeradius.org

omapd IF-MAP Server

http://code.google.com/p/omapd

strongSwan IPsec

http://www.strongswan.org

Open Source TNC SDK (IF-IMV and IF-IMC)

http://sourceforge.net/projects/tncsdk

TCGによるOSSプロジェクトを支援する仕組み

(26)

TNC 認定プログラム

適切に

TNC標準を実装しているプロダクトに対しての認定

認定の課程

TCGが実施している自動化された準拠テストを受ける

Plugfest式

(訳注:一斉接続大会的な物)

に出して、

インターオペラビリティテストを行う

最終的に

TCG Web siteに認定プロダクトとしてリストされる

TNC認定を受けるメリット

(27)

TNC の利用実態

広く利用されているのか?

答えは “Yes”

100万単位のエンドポイントユーザー

1000を越えるユーザー

たくさんのプロダクト

セキュリティはどんな分野でも必要とされる

政府機関

金融機関

ヘルスケア

販売業、

etc. etc. …

(28)

Case Study – St. Mary’s County Public Schools

Who

Public school district in

Maryland

16,000 students, 2,100

staff

26 schools, Grades K-12

New, intensive STEM

academies

STEM = Science,

要件

STEM academiesのための無線LANでの

ノート

PC受け入れ

最も強力なセキュリティを必要としていた

STEMのノートPCのみを接続

ユーザーごとのアクセスコントロール

ノート

PCに対する強力なヘルスチェッ

(29)

St. Mary’s County Public Schools - Solution

ソリューション

Juniper UAC を利用

クライアントソフトウェアを導入

ヘルスチェックは常時

Juniperではない無線APを利用

802.1X による認証とコントロール

TNCから IF-PEP (PDP内のNetwork

Access Authorityと Policy

Enforcement Point間の通信規格)

を使用

特徴的なデザイン

タイトなアクセスコントロールを実行

(30)

おさらい

TNCは今あるセキュリティの問題を解決し、成長を続ける

柔軟でオープンなアーキテクチャは変革にも素早い対応が出来る

協調して自動的に適応されるセキュリティはよりよく安価なソリューションとなる

TNCはオープンなネットワークセキュリティアーキテクチャであり、標準である

マルチベンダー間での相互互換性を持つ

既に行った投資を無駄にしない、さらに今後のコスト削減を実現する

ベンダーの囲い込みを避けることが出来る、次のソリューションも自由に選べる

TNCは最も強力なセキュリティを提供する

オプションで利用できる

TPMはルートキットを排除できる

オープンなアーキテクチャは常に進化を続ける事ができる

(31)

さらなる情報のポインタ

TNC Web Site

技術情報

http://www.trustedcomputinggroup.org/developers/trusted_network_connect

ビジネス情報

http://www.trustedcomputinggroup.org/solutions/network_security

TNCワーキンググループ 共同議長

Steve Hanna

Distinguished Engineer, Juniper Networks

shanna@juniper.net

Atul Shah

Senior Security Strategist, Microsoft

Updating...

参照

Updating...

関連した話題 :