Vcn daylive-2020 nsx-didps

©
と
分散による
新たなセキュリティのアプローチ
セキュリティ
長門石晋
ソリューション技術本部
ネットワーク＆セキュリティ技術部
シニアスペシャリストエンジニア
年月日

©
免責事項
◼ このセッションには、現在開発中の製品 / サービスの機能が含まれている場合があります。
◼ 新しいテクノロジーに関するこのセッションおよび概要は、が市販の製品 / サービスにこれらの機能を
搭載することを約束するものではありません。
◼ 機能は変更される場合があるため、いかなる種類の契約書、受注書、または販売契約書に記述してはなりません。
◼ 技術的な問題および市場の需要により、最終的に出荷される製品 / サービスでは機能が変わる場合があります。
◼ ここで検討されているまたは提示されている新しいテクノロジーまたは機能の価格およびパッケージは、
決定されたものではありません。

©
が提供する脅威対策
ファイアウォールに最高レベルの侵入防御機能を統合
ステートフル
ファイアウォール
フィルタリング
脅威フィード
次世代ファイアウォール機能
アプリケーション識別・制御
ユーザー制御
分析
脅威情報に基づくフィルターでのブロック制御は次期サポート予定
危険なサイトへのアクセス検知
ブロック制御は次期サポート予定
脆弱性攻撃・侵入
の防御と検知
インターネット上の脅威への対応
は次期サポート予定

©
ファイヤーウォールや、どこに課題を感じますか？（複数回答可能）
投票アンケート
ルール更新性能不足
トポロジーの複雑さ機器冗長クラスタの運用
ログ管理ログ監視運用に対する教育
ご協力ありがとうございました！
導入コスト運用コスト

©
リスクを最小限にする
コンプライアンスを確実にする
オペレーションを簡素化する

©
クラウドネイティブアプリケーション
連携会社
ゲート
ウェイ
WEB UI
サービス
D
サービス
C
サービス
A
サービス
B
インターネット
マイクロサービスアーキテクチャにより複雑さが増大
管理が分散した
セキュリティ対策
分散
アプリケーション
規模
のサービス管理
短時間に変更される
サービスの短命さ

©
連携会社
ゲート
ウェイ
サービス
サービス
サービス
サービス
インターネット
内部対策としてのセキュリティは
依然として大きな課題に

©
従来のゲートウェイ防御では不十分に
トラフィックへの内部セキュリティが新しいバトルフィールド
トラフィックを適切に監視、
フィルタリング、分析するための
コントロールが不足している
セキュリティカバレッジと
運用の簡素化は
トレードオフとなることを理解している

©
数字によるセキュリティの実態
従来型セキュリティによる内部対策の難しさ
～ヶ月万ドル
攻撃者のシステム内に留まり、
滞在潜伏する平均期間
年
情報漏洩による
被害金額の平均
年
もっとも窃取された情報
クレデンシャル
年
企業内で使われる
セキュリティツール数
平均
約４億円
内部セキュリティ対策を中心にした新たなアプローチが求められる時代に

©
での組み合わせ
非常に多様化が進むセキュリティ対策

©
ビルトインタイプ防犯カメラ
ビルトイン避難経路
ビルトイン防犯装置
アプローチ

©©
分散
コストを抑えながら全体に対する
完全なカバレッジを実現するビルトイン

©
コストを抑えながら完全なカバレッジを実現する分散
クラウドネットワーク
ファブリックにビルトイン
された分散アーキテクチャを
採用
すべてのワークロードの
トラフィックを簡単に分析
低コストで内部スキャン
による犯行を阻止

©
従来型
クリティカルまたはコンプライアンス上必須の箇所のみに適用する考え方
従来型によるアプローチは費用がかかる上に複雑
ゲートウェイ型
集中管理型
アプライアンスへの
ヘアピン通信
スループット制約特定のワークロードにのみ
トラフィック分析
非サポート
ポリシー冗長
® ® 仮想マシンのライブマイグレーション機能

©
従来型
新しいアプローチにより、ワークロードのトラフィック分析を容易に
全てのワークロードを分析対象にすることで、従来型の課題を解決

©
従来型
新しいアプローチにより、ワークロードのトラフィック分析を容易に
全てのワークロードに対して
トラフィック分析が可能に
に追従して
ポリシーを適用
完全なカバー範囲
ブラインドスポットの撲滅
圧倒的なスループット
ホスト追加でスケーラビリティは
リニアに向上
全てのワークロードを分析対象にすることで、従来型の課題を解決

©
関連するシグネチャのみを各ワークロードに適用
コンテキストベースのシグネチャ選定によるルール適用
各ワークロードでの
アプリケーション
稼働状況を活用
ホスト上の
計算オーバーヘッド
を大幅に削減
が
少ない
各エンジンで使用される
シグネチャ総数削減
シグネチャ
* 評価中の実績をベースとした概算値

©
サーバワークロードやに対するエージェントレスによる脅威保護
分散様々なユースケースに対応
コンプライアンス準拠
重要なサーバアプリケーションに対して、
ハイバーバイザーで動作するを柔軟に提供
などの需要に対して容易な
コンプライアンス準拠の対応が可能
システム内におけるブラインドスポットを撲滅
専用アプライアンスからの脱却
高価で汎用性の低い専用ハードウェアアプライアンス
をリプレイス可能に
® によるシンプルな実装でネイティブな
機能を提供
仮想パッチ
ゲストの脆弱性を悪用したリモートからの攻撃を
で遮断することで、サイバー攻撃を未然に防止
ゲストに正規のパッチをインストールするまでの
リードタイムに、仮想パッチによる応急措置
仮想
ソフトウェアで仮想的にを構成することで
複雑なネットワーク構成を回避可能、
結果としてコスト効果を向上
サーバセグメントのテナント間やドメイン間の
トラフィックを柔軟に精査、仮想マシン毎の柔軟な
脅威対策

©
物理でのセキュリティ保護の限界
境界型セキュリティ方式
インターネット向けファイアウォール感染拡大リスクの増大化
ゾーン内での拡散防止は実質不可能
内部
同士の通信は制御不能
ほぼ不要にも関わらず、通信できてしまう
ランサムウェア等、マルウェアに対する情報漏洩データ破壊リスクの最小化

©
物理でのセキュリティ保護の限界
境界型セキュリティ方式
インターネット向けファイアウォール
感染拡大リスクの増大化
ゾーン内での拡散防止は実質不可能
内部
サーバクライアント間の正規の通信は制御不能
正規の通信として通信できてしまうため、脅威が拡散

©
分散デモシナリオ
初期攻撃
• サイト管理システムの
脆弱性を標的としたエクスプロイト
を使用し、
コネクションを介してサーバへの
侵入を試みます
• リバースシェルを用いて、攻撃を受けた
サーバの動作権限にて任意の
コードを遠隔から実行できるようにします
• 攻撃を受けたサーバを経由して
内部サーバへのピボットを行います
分散を用いた初期攻撃と侵入拡大内部拡散の検出
グローバルセグメント
フロントエンド
プライベートセグメント
サーバ
エクスプロイト
サーバ
ファイルサーバ
リバースシェル

©
分散デモシナリオ
内部拡散ラテラルムーブメント
• ピボットを介しての脆弱性を
標的としたエクスプロイト
を使用して、サーバへの
侵入を試みます
• サーバへのシェルアクセスを
取得します
• ペイロードをダウンロードし、
実行します
• が、
エクスプロイトを利用して、
サーバに拡散します
分散を用いた初期攻撃と侵入拡大内部拡散の検出
プライベートセグメント
エクスプロイト
の
ダウンロードと実行
エクスプロイトによる
の拡散
サーバサーバ
グローバルセグメント
フロントエンド
ファイルサーバ

©
仮想デスクトップネットワーク仮想化による「脅威対策型マイクロセグメンテーション」
内部
セキュリティ単位の最小化
仮想デスクトップ毎の
ファイアウォールと
不要通信ブロック
による即時疑義端末特定
内部探索などの活動が起きていることがわかる
「分散」
脆弱性攻撃・侵入のブロック
内部感染の遮断
「マイクロセグメンテーション」
不要な間、サーバ間の通信ブロック
仮想パッチ
仮想デスクトップ毎の
脆弱性対応
情報の見える化による探索行為の特定
情報から内部探索などの活動が
起きていることがわかる

©
分散のメリット
コスト、複雑性、キャパシティ対応への複雑さ、といった課題を一気に解決
伸縮性のある
パフォーマンス
シンプルな
ネットワーク
アーキテクチャ
管理容易性汎用的なコンピュート
リソースだけで動作

©©
分析
インターネット上の
アプリケーション使用状況の見える化

©
分析
からアクセスされる
外部ドメインの見える化
分析により見えてくるインター
ネット利用の安全性
• クラウドアプリケーションの使用状況
• ビジネスに関連する関連しないインターネット
のアクセス状況
• リスクのあるユーザーの行動
• 潜在的に悪意のある活動
ユーザーやワークロードのインターネットアクセスに対する安全性を評価
カテゴリーレピュテーション

©
分析
カテゴリー分類
とレピュテーション評価
• のカテゴリーに対応
–
• レピュテーションスコア
– ドメインのレピュテーション
・信頼度安全性を評価
– のスコアをつのカテゴリーに分類
–
を通過するに対応
• スヌーピングを活用
• 他プロトコルに対応
ユーザーやワークロードのインターネットアクセスに対する安全性を評価
カテゴリー
レピュテーション
クラウドアプリケーションの使用状況
ユーザー行動のリスク評価
カテゴリー名リスクレベルレピュテーションスコア
リスクレベル
リスクレベル

©
インシデント相関分析
による統合ネットワークセキュリティ対策
分散ファイアウォール分散
アプライアンス型ファイアウォール
アプライアンス型
マネージャ
ファイアウォール
マネージャ
インシデント相関分析
• ファイアウォール、、アノマリ通信等の
ワークロードを中心に多角的な視点で脅威を可視化
• のインフラデータを元にしたワークロード
フォレンジック
ネットワーク詳細可視化
• 端末の、使用アプリケーション、利用ユーザーの他、
該当する脆弱性、発生している通信状況まで詳細に可視化
• ファイアウォールで保護されてない実通信は、
リスクがあるフローとして可視化
• やプロトコル偽装、過去の通信から逸脱した
振る舞いを脅威として検知
チューニングと影響範囲の最小化
• 実通信をベースにファイアウォールルールを作成
• ルールの適用前後の影響をシミュレーションし
で結果を表示
• 導入環境に合わせて設定・アラートを最適化し、
管理者の運用負荷を大幅削減

©
リアルタイムなアクセス制御で衛生管理、運用サイクルを実施
サービス
サービス
サービス
→→→
ポリシー
マニフェスト
ワークロードにエージェントを介さず、
刻々と変わるアプリケーションの状況や
ネットワークに流れるフロー情報を
ビルトイン分析エンジンで網羅的に収集
アプライアンスにて
機械学習により振る舞いを解析
↓
ワークロードのグルーピングと
その場に適したホワイトリストを自動生成
ルール
ワークロードの状態を継続的にモニターし、
グループ内のメンバーシップの変更を検出すると、
新しい推奨事項を生成
定められた範囲内に動作を
封じ込められるように
より粒度の細かいマイセグを適用可能に
運用時の通信フロー全てに対して
信頼性を常に確認できる基盤へ

©
のビジョン
脅威に対するセキュリティとネットワーク分析の高度化
見える化
ポリシー策定
セキュリティ分析
トポロジーと
フロー情報の
ビジュアル化
プロセスフロー
パケットを分析
マイセグポリシー生成
ネットワーク振る舞い
のアノマリ分析
脅威検出、脅威
フィードとの突合
振る舞い分析
ユーザープロセス
フロー脅威フィード
を利用した脅威ハン
ティングや脅威分析
予測分析
振る舞いに対して
脆弱性マッピングや
脅威フィードを用いた
インパクト分析
現在対応

©
の今後
プロトコルミスマッチ
ポート番号やプロトコル、により
トラフィックミスマッチを検出
ポートスキャンポートスイープ検出
スキャンニング
システム上の複数開いているポートのチェック
やサービスへの攻撃などの試みを検出
スイーピング
複数のシステムにわたって単一ポート
またはサービスへの攻撃などの試みを検出
トラフィックドロップ
過度のトラフィックドロップの検出
セキュリティーアノマリー検知

©
の機能を集約しワークロードの可視化とフォレンジックを提供
の今後脅威に対するより包括的な可視化
外部からへの通信に不正を検知
アノマリーアクティビティ
・プロトコルミスマッチ（ポート偽装バックドア）検知
・過度なを検知
分散によるペイロードの異常検知
・が実際に保持している脆弱性を悪用した攻撃
全フローの可視化
・未保護のフロー特定

©
の機能を集約しワークロードの可視化とフォレンジックを提供
の今後脅威に対するより包括的な可視化
不正を検知したワークロードの更なるフォレンジック
® からの詳細な
ワークロードコンテキスト情報
NSXによるアノマリーアクティビティ検知
・MongoDBのポート番号で SSH が使われていた
・CnC の振る舞いとして分類(予測分析)
分散によるペイロードの異常検知
検知したシグニチャの詳細（影響範囲

©
データセンター
全体の可視性
シンプル
オペレーション
統合セキュリティ
ポリシー管理
多様な脅威検出
ワークロードとネットワークコンテキストを活用した、分散によるビルトイン分析プラットフォーム
は戦略的であり、ネットワークとセキュリティの
ユースケース全体でさらなる革新と差別化となる基盤を提供

Vcn daylive-2020 nsx-didps

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Vcn daylive-2020 nsx-didps

Similaire à Vcn daylive-2020 nsx-didps (20)

Dernier

Dernier (10)

Vcn daylive-2020 nsx-didps