Contenu connexe
Similaire à Vcn daylive-2020 nsx-didps (20)
Vcn daylive-2020 nsx-didps
- 2. ©
免責事項
◼ このセッションには、現在開発中の製品 / サービスの機能が含まれている場合があります。
◼ 新しいテクノロジーに関するこのセッションおよび概要は、 が市販の製品 / サービスにこれらの機能を
搭載することを約束するものではありません。
◼ 機能は変更される場合があるため、いかなる種類の契約書、受注書、または販売契約書に記述してはなりません。
◼ 技術的な問題および市場の需要により、最終的に出荷される製品 / サービスでは機能が変わる場合があります。
◼ ここで検討されているまたは提示されている新しいテクノロジーまたは機能の価格およびパッケージは、
決定されたものではありません。
- 17. ©
従来型
クリティカル または コンプライアンス上 必須の箇所のみに適用する考え方
従来型 による アプローチ は費用がかかる上に複雑
ゲートウェイ型
集中管理型
アプライアンスへの
ヘアピン通信
スループット制約 特定のワークロードにのみ
トラフィック分析
非サポート
ポリシー冗長
® ® 仮想マシンのライブ マイグレーション機能
- 21. ©
サーバワークロード や に対するエージェントレスによる脅威保護
分散 様々なユースケースに対応
コンプライアンス準拠
重要なサーバ アプリケーションに対して、
ハイバーバイザー で動作する を柔軟に提供
などの需要に対して容易な
コンプライアンス準拠の対応が可能
システム内におけるブラインドスポットを撲滅
専用アプライアンスからの脱却
高価で汎用性の低い専用ハードウェア アプライアンス
をリプレイス可能に
® によるシンプルな実装でネイティブな
機能を提供
仮想パッチ
ゲスト の脆弱性を悪用したリモートからの攻撃を
で遮断することで、サイバー攻撃を未然に防止
ゲスト に正規のパッチをインストールするまでの
リードタイムに、仮想パッチによる応急措置
仮想
ソフトウェアで仮想的に を構成することで
複雑なネットワーク構成を回避可能、
結果としてコスト効果を向上
サーバセグメント の テナント間やドメイン間の
トラフィックを柔軟に精査、仮想マシン毎の柔軟な
脅威対策
- 24. ©
分散 デモシナリオ
初期攻撃
• サイト管理システム の
脆弱性を標的とした エクスプロイト
を使用し、
コネクションを介して サーバ への
侵入を試みます
• リバースシェルを用いて、攻撃を受けた
サーバの動作権限にて任意の
コードを遠隔から実行できるようにします
• 攻撃を受けた サーバを経由して
内部サーバへのピボット を行います
分散 を用いた 初期攻撃 と 侵入拡大 内部拡散 の検出
グローバルセグメント
フロントエンド
プライベートセグメント
サーバ
エクスプロイト
サーバ
ファイルサーバ
リバースシェル
- 25. ©
分散 デモシナリオ
内部拡散 ラテラルムーブメント
• ピボット を介して の脆弱性を
標的とした エクスプロイト
を使用して、 サーバへの
侵入を試みます
• サーバへのシェルアクセスを
取得します
• ペイロード をダウンロードし、
実行します
• が、
エクスプロイト を利用して、
サーバに拡散します
分散 を用いた 初期攻撃 と 侵入拡大 内部拡散 の検出
プライベートセグメント
リバースシェル
エクスプロイト
リバースシェル
の
ダウンロードと実行
エクスプロイトによる
の拡散
サーバ サーバ
グローバルセグメント
フロントエンド
ファイルサーバ
- 34. ©
インシデント相関分析
による 統合ネットワークセキュリティ対策
分散 ファイアウォール 分散
アプライアンス型 ファイアウォール
アプライアンス型
アプライアンス型 ファイアウォール
アプライアンス型
マネージャ
ファイアウォール
マネージャ
アプライアンス型 ファイアウォール
アプライアンス型
インシデント相関分析
• ファイアウォール、 、アノマリ通信等の
ワークロードを中心に多角的な視点で脅威を可視化
• のインフラデータを元にしたワークロード
フォレンジック
ネットワーク詳細可視化
• 端末の 、使用アプリケーション、利用ユーザーの他、
該当する脆弱性、発生している通信状況まで詳細に可視化
• ファイアウォールで保護されてない実通信は、
リスクがあるフローとして可視化
• やプロトコル偽装、過去の通信から逸脱した
振る舞いを脅威として検知
チューニングと影響範囲の最小化
• 実通信をベースにファイアウォールルールを作成
• ルールの適用前後の影響をシミュレーションし
で結果を表示
• 導入環境に合わせて設定・アラートを最適化し、
管理者の運用負荷を大幅削減
- 37. ©
の 今後
プロトコル ミスマッチ
ポート番号やプロトコル、 により
トラフィックミスマッチを検出
ポートスキャン ポートスイープ検出
スキャンニング
システム上の複数開いているポートのチェック
やサービスへの攻撃などの試みを検出
スイーピング
複数のシステムにわたって単一ポート
またはサービスへの攻撃などの試みを検出
トラフィックドロップ
過度のトラフィックドロップの検出
セキュリティーアノマリー検知
- 38. ©
の機能を集約し ワークロードの可視化とフォレンジックを提供
の 今後 脅威に対するより包括的な可視化
外部から への通信に 不正を検知
アノマリー アクティビティ
・プロトコル ミスマッチ(ポート偽装 バックドア)検知
・過度な を検知
分散 による ペイロード の 異常検知
・ が 実際に保持している 脆弱性 を悪用した攻撃
全フロー の 可視化
・未保護 の フロー特定
- 39. ©
の機能を集約し ワークロードの可視化とフォレンジックを提供
の 今後 脅威に対するより包括的な可視化
不正 を検知した ワークロード の更なる フォレンジック
® からの 詳細な
ワークロード コンテキスト情報
NSXによる アノマリー アクティビティ検知
・MongoDBの ポート番号 で SSH が使われていた
・CnC の 振る舞いとして分類(予測分析)
分散 による ペイロード の異常検知
検知したシグニチャの詳細( 影響範囲