【Ｃ-2本間/配布用】

こんなクラウドほしかった！

〜 クラウドを利用する際の不安を一掃するセキュリティとは

…

〜

パロアルトネットワークス₍株₎ 本間 庸之

パブリッククラウドを使うことによる変化

§ 従来の_{ITインフラからの変化} § リソースの所有から利用へ…

クラウドセキュリティの責任分界点

§

クラウドサービスにおける責任分界点

§ クラウド利用企業にて必要とされるレイヤー § SaaS（Software  as  a  Service）

§ ユーザリソース（データ，コンテンツ）

§ PaaS（Platform  as  a  Service）

§ ユーザリソースから，アプリケーションまで

§ IaaS（Infrastructure  as  a  Service）

§ ユーザリソースから，ミドルウェア（場合により_OS） • アクセスコントロール • データ暗号化 • 脆弱性確認 • セキュアなプログラム • 脆弱性確認 • 権限設定 ユーザリソース（データ等） アプリケーション ミドルウェア OS ネットワーク • 物理的なセキュリティ セキュリティ対策例

クラウド利用におけるセキュリティリスク（その

1

）

§

クラウドは，仮想化技術を使ったサービス提供

§ オンプレミスと異なる特性

§

仮想化技術の特性

§ マルチテナンシー § 課題 ： リソース分離，データ保護 § 一元管理 § 課題 ： 管理コンソール権限保護 § ハイパーバイザー（ホスト_OS） § 課題 ： 仮想化基盤の権限保護 仮想化技術特性を意識したセキュリティ対策が必要

クラウド利用におけるセキュリティリスク（その

2

）

§

クラウドサービス事業者が定める約款例

§ 加入者が_{DoS攻撃をおこなう} § サービスに対する攻撃，セキュリティ脆弱性調査 § ユーザアカウントの乗っ取り § 脆弱性のためのポートスキャン，_{Probeの実行} § 無許可のペネトレーションテスト 等

これらの実施等が確認された場合，即利用停止となる場合も

…

つまり…

自身のリソースを守ることはもちろん，

踏み台等とならないようなセキュリティ確保が必要

クラウド利用時のセキュリティ対策

§

ネットワークにおける制御と可視化

§

サーバの制御と可視化

§

効果的な運用

• アプリケーションレベルでの可視化 • アプリケーションレベルでのアクセス制御 • データ暗号化（ＶＰＮ/  SSL等） • トラフィックの可視化 • 脅威対策の策定 • 新たなる脅威に対する対応 • ログ管理 • 脅威相関分析 • セキュリティデバイスの一元管理

パロアルトネットワークス

vs.

他社のクラウドセキュリティ対策 パロアルトネットワークス 他 社 ファイアウォール（アプリケーション識別） IPS/  IDS Anti  Virus 未知のマルウェア URLフィルタ Anti  Spyware ボットネット感染端末検知 ファイアウォール（ポートベース） 他製品/  他社製品との組み合わせにより実現 • UTM機能によるPerformance劣化

（IPS/  IDS，Anti-­‐Virus/  Spyware，URLフィルタ） • 個別制御（個別設定）による対応

• コスト増

• 運用負荷増

• 異なるログ管理

次世代ファイアウォール

§ 全てのアプリケーション通信を検査し，可視化

§ 既知の脅威（脆弱性攻撃，情報漏洩，マルウェア等）をブロック

§ 未知の脅威についてはクラウドに送信して分析，更に自動的にファイアウォールへフィードバック

脅威分析クラウド

WildFire

§ 世界最大級のマルウェア分析クラウドサービス § 次世代ファイアウォールから送信された未知のファイルをクラウド上にあるサンドボックス環境で実行＆分析し，未知の マルウェアを発見・防御するためのクラウドサービス § ユーザ環境で発見されたマルウェアに対して，シグネチャを自動生成し，一斉配信 グローバルで9_,000社・30_,000台以上が利用 検査されるファイル数: 一日当たり 約300万 / DAY 発見されるマルウェア： 一日当たり 約4万 / DAY

WildFire

TM ※WildFire  サービスの利用にあたっては，利用する次世代ファイアウォール 上で追加のサブスクリプションが必要

エンドポイント防御：

Traps

エクスプロイト防御

ゼロディ脆弱性を含むエクスプロイトをブロック

マルウェア防御

未知・既知を含む幅広いマルウェアをブロック

フォレンジックデータの収集

攻撃を受けた際に分析に必要なデータを保存

シンプル、軽い、分かり易い

エンタープライズ環境での利用・運用をベースに設計

ネットワークおよびクラウドとの連携

脅威情報を交換することにより統合的なセキュリティを実現

Traps

セキュリティ対策構成例

VPN

データセンタ

SaaS _{IaaS/  PaaS}

• 外部（データセンタ）との接続は_{VPNによる暗号化} • トラフィック可視化によるアプリケーションコントロール • _{DC内リソースの保護} -­‐ 内部感染のチェック • トラフィック可視化によるアプリケーショ ンコントロール • リソースの保護 -­‐ 内部感染のチェック -­‐ 脆弱性防御 -­‐ DoS対策 • SaaSアプリケーション監視/  管理 • リソースの保護 -­‐ 内部感染のチェック -­‐ 脆弱性防御 -­‐ DoS対策

サーバ向けトラフィックの可視化

Appサーバ向けトラフィック Webサーバ向けトラフィック

利用状況の可視化

サーバ利用率の可視化 アプリケーション利用帯域の

トラフィックコントロール Web App DB Queue  1   帯域：10Mbps Priority：Mid Queue  2 帯域：100Mbps Priority：High Queue  3 帯域：N/A Priority：Low _{• 優先度を意識したトラフィックコントロール} • 回線帯域の有効活用

SaaS

アプリケーションの安全利用 § Aperture（国内2016年内リリース予定） § SaaSアプリケーションにAPIを介して接続 § ハッシュとEXEファイルをWildFireクラウドに送信 § キーワード，正規表現，業界標準のデータ分類子 （PCI，PII等）に基づいた詳細なコンテンツ検査 § 機械学習によるカスタムデータ分類 § ユーザ，collaborator，アクセス情報の抽出 § 脅威，データ，出現頻度に基づくリスクの計算と可視化 § 管理者による，エンドユーザ通知，検疫などの処理可能 APERTURE WILDFIRE B ファイル共有 6 広告

Aperture

§ サポートする_{SaaSアプリケーションにMS}  

Office365

を追加

17 |    ©  2016, Palo  Alto  Networks.  Confidential  and  Proprietary.  

コンテキストによる データ公開の制御 機械学習による ファイルの分類 マルウェアの 検出＆除去 詳細なコンテンツ検査 および アナリティクス

Aperture  は2016年年中に⽇日本市場でも提供開始予定

ログ情報の一例

§

ログへ記録をすることで，ファイル（通信）のやりとりを可視化

§ ユーザ，ファイル名，アプリケーション等を記録することで現状を把握し，インシデント対応等 が迅速に可能 ログに，ファイル名・ユーザ名・ アプリケーションが記録されること で情報漏洩発生時に追究が可能 ボットネット検知

ログの重要性

通信先国別表示により発生し得ないはずの国への通信を洗い出して 制御

アプリケーション毎・ユーザ毎のトラフィック集計により被疑 の端末や問題のあるアプリケーションを制御

ログの重要性

非標準ポートのログと，それを許可しているルールをリストし，リスクに応じて ルールの最適化を行う

IPSのシグニチャマッチングのログから脅威の傾向を把握し， 対策につなげる

ログの重要性

セキュリティポリシーでのブロックログからルールの最適化の必要性を検討 ブロックコンテンツのログから，標的型攻撃の誘い

込みや，マルウェアダウンロードを確認し攻撃元の 特定につなげる

セキュリティデバイスの管理

セキュリティデバイスの集中管理 アプライアンス VM クラウド

全ての環境のデバイスを一元管理

• セキュリティポリシーの統一 • 運用負荷とコストの削減 • ログ，レポートの一元化

VM

シリーズ

for VMware

VMシリーズ For VMware  ESXi VMシリーズ For VMware  NSX VMシリーズ For Citrix  NetScaler  SDX

VM

シリーズ

for KVM

§

Linux  ブリッジ，RedHat上のOpen  vSwitchおよびUbuntu，CentOSをサポート

§

OpenStackプラグインによる自動化サポート

§

システム要件

§ 64bits  Linuxディストリビューション § CentOS

§ RedHat Enterprise  Linux（RHEL）

§ Ubuntu Linux   KVM br0 Linux   KVM Linux   KVM virtio e1000

Linux  Bridge/OVS PCI-­Pass  through SR-­IOV

IGB BNX2

IGBVF/IXGBVF BNX2

AWS

サポート

§ AWS上に展開するVirtual  Private  Cloud環境上にVMシリーズを展開可能

§ VMシリーズは，AMI（Amazon  Machine  Image）で提供．EC2にインスタンスとして導入

§ VMモニタリング機能の拡張により，VMシリーズはAmazon  VPCおよびEC2インスタンスのIP アドレス情報を取得し，_{metadataをタグ付けしてセキュリティポリシーと連動可能} Segment  B mgt E1/1 E1/3 router E1/2 router E1/2 E1/3 Segment  A

VM

シリーズ強化（

PANOS7.1

より）

§

サポート環境として

_{MS  Azure/  Hyper-­Vを新たに追加}

§

全てのクラウド環境で次世代ファイアウォールが利用可能

§

AWSでは，Elastic  Load  Balancingを追加サポート

パブリッククラウド

Microsoft Azure

Microsoft  Azure