Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
© 2007 Palo Alto Networks. Proprietary and ConfidentialPage 1 |
Firewall 2.0ファイアウォールの世代交代が始まった
パロアルトネットワークス合同会社
技術本部長 乙部 幸一朗
従来型ファイアウォール – “Firewall 1.0”
• パケットフィルタ型- セッションの方向は関係なく、流れてくるPacketがアドレスや
ポート番号などの条件にあえばPermit/Denyの処理
- パフォーマンスは高いが、セキュリティレベルは低い
• アプリケーションゲートウェイ型- Proxyとして動作して、全ての通信を仲介
- セキュリティレベルは高いが、パフォーマンスが出ない
• ステートフル(ダイナミックパケットフィルタ)型- 現在ほとんどのファイアウォールベンダが採用
- パケットのヘッダ情報(アドレス・ポート番号・プロトコル)を元にセッションテーブルを作成し、それを元に通信を制御
- 通信の方向と状態(ステート)という概念をセキュリティに取り入れた画期的な技術
X
X
いずれもポート番号とプロトコルをベースに通信を制御
アプリケーションは飛躍的に進化
Collaboration / MediaSaaS Personal
• アプリケーションは高い接続性を確保するように設計
- 開発者はファイアウォールそしてポート番号ベースでの制限があることを前提にアプリケーションを開発
- 動的なポートスキャン、80/443ポートの活用、暗号化処理などを利用し簡単にファイアウォールをバイパス
ファイアウォールは通信を制御し、ネットワークの安全を維持するという本来の目的を失っている
ファイアウォールを越えていくアプリケーション…
• 多くのアプリケーションが使う “ポートホッピング”動作
- 標準のポートをトライ(UDP & TCP)- もしブロックされたら、他のポートをトライ
- もしブロックされたら、HTTP をトライ
- もしブロックされたら、HTTPS をトライ (簡単、安全な通信を実現)
- もしブロックされたら(あまりないが)、Proxy を経由するなど純粋なWeb化した通信でトライ
Page 4 |
Proxy や URL フィルタでさえ越えていく…
誰でも簡単に入手&利用できるセキュリティ回避ツールの一例
• PacketiX(SoftEther): SSLを利用したトンネルアプリケーション
• Hamachi : P2P技術をベースとしたトンネルアプリケーション
• Ultrasurf : ProxyやUFをバイパスするプロキシアプリケーション
• TOR (The Onion Router): SOCKS をベースとした匿名 Web サーフィン
• Hopster:ファイアウォール、Proxy バイパスアプリケーション
• その他: 匿名Proxyサイト、自宅 Proxy(HTTP/CGI/PHP-Proxy)
Page 5 |
Page 6 |
ユーザーはネットワーク上でやりたい放題
※日本語版のレポートは www.paloaltonetworks.jp からダウンロードできます
• アプリケーションの利用とリスクに関する報告書(※) では60 組織、960,000 ユーザーのネットワーク上での実際の行動をレポート- HTTP は万能なプロトコル – 回線帯域の内 64% を占有し、ほとんどが非ブラウザ通信- ビデオストリーミングが帯域をもっとも占有 – P2Pファイル共有の30倍- P2PやWebベースでのファイル交換が蔓延
- 脅威を把握する上でアプリケーションは最も重要なファクターのひとつ
• 大きなリスク: 生産性、法規制/コンプライアンス、コスト、ビジネスの継続性そして情報漏洩
現在企業が行なっているセキュリティ対策
• ファイアウォールの導入
- ほぼ100%の環境で既に実施済、ポート番号レベル以上の通信制御には無力
• Proxy で制御
- ポート80番と443番通信にだけ特化して制御、他のポートはスコープ外、パフォーマンスやキャパシティの問題、バイパス可能、SSLを使えば更に簡単
• URL フィルタで制御
- 全てのアプリケーションが特定のアドレスやドメイン名を使う訳ではない、毎日アドレスを変えているものはお手上げ、バイパス可能、非現実的な運用(Blackリストを管理 or それともカテゴリでBlock)
• IPS や Content scanner で防御
- 悪いアプリケーションだけなら問題ないが、そもそもどれが悪いアプリケーション?
© 2008 Palo Alto Networks. Proprietary and Confidential.Page 7 |
現在のセキュリティ投資は本当に効果(Return)を得られているのか?
Page 8 |
ファイアウォールに対する新しい要件
1. ポート番号、プロトコル、秘匿技術やSSL暗号に関わらずアプリケーションを識別
2. IPアドレスに関わらず利用ユーザーを識別
3. ユーザーのアプリケーション利用の可視化およびアクセス制御を実現
4. アプリケーションに埋もれて通過する脅威や重要データをリアルタイムでブロック
5. パフォーマンス劣化がないインライン導入を可能にするマルチギガビット処理
Firewall 2.0 – 今注目される次世代ファイアウォール
製品デモ - 効果的な”可視化”と”アクセス制御”
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 10 |
すべてを可能にした 4 つのコア技術
SP3 アーキテクチャ
App-ID Content-ID
User-ID
App-ID:特許申請中のアプリケーション識別エンジン
• ファイアウォール処理に完全統合されたアプリケーション識別エンジン
• 全トラフィックに対してアドレス、ポート番号、プロトコルに加えアプリケーション情報まで自動的に識別
• SSL暗号通信は一度複合化した上で中に隠れたアプリケーションを識別可能
• ビジネス、インターネット、ネットワーキングと幅広く870種類以上のアプリケーションとプロトコルをサポートし、DB更新により毎週続々と数を追加
• 日本のアプリケーションにも対応 (例: Winny、Share、Hamachi、PacketiX、宅ファイル便、Yahoo動画、ニコニコ動画、2ちゃんねる、mixi etc.)
App-ID vs 従来製品のアプリケーション識別
App-ID Policyマッチング
許可ブロック
ポリシー制御
全てのトラフィックに対してまずアプリケーションを識別
アドレス、プロトコル、アプリケーションの情報を元に必要なものだけ許可し残りはログやブロック等が可能
PA シリーズ
デフォルトで全通信に識別動作が行なわれ、パフォーマンスは一定
FWエンジン
IPSエンジンファイアウォール上はあくまでポート、
プロトコルベースでトラフィックを制御
ルールにマッチしたものだけがIPSエンジンに転送され、シグネチャにマッチした“悪いアプリ”だけブロック
ポリシー制御
従来のファイアウォール製品
IPSに転送するルールが増えるほど、またIPSで適用するシグネチャを増や
すほど、パフォーマンスは大きく低下
User-ID: IPアドレスから自動的にユーザを識別
• Active Directory と連携しIPアドレスとユーザ名そして所属グループを自動的にマッピング
• ログ上では単なる IP アドレスではなくユーザ名として記録され、ユーザ毎のアプリケーション利用状況や脅威の影響を把握可能
• ユーザまたは AD グループ単位でもセキュリティポリシーを適用可能
• セキュリティのインシデント調査、ユーザ個別のレポート生成も可能
10.1.1.2 = tanaka10.1.1.3 = kobayashi10.1.1.4 = masuda
Domain Controller
PAN Agent
•10.1.1.2
•10.1.1.3
•10.1.1.4
Content-ID:高速処理を実現したコンテンツセキュリティ
• ファイルおよびデータフィルタリング- ファイルタイプまたはデータパターン(クレジットカード番号や文字列パターンマッチング
等)によるフィルタリング
• 脅威防御(UTM)- 脆弱性攻撃 (IPS)、ウィルス、 そしてスパイウェアに対する防御
• Web フィルタリング- 76 カテゴリに分別された 2000万を超える URL 情報を元にしたWebアクセス制御
シングルエンジン&ストリームベースで3つのコンテンツセキュリティ機能を提供
従来のファイアウォール/UTM製品のアーキテクチャ
Port/Protocol-based ID
Port/Protocol-based ID
L2/L3 Networking, HA, Config
Management, Reporting
L2/L3 Networking, HA, Config
Management, Reporting
Port/Protocol-based ID
Port/Protocol-based ID
HTTP DecoderHTTP Decoder
L2/L3 Networking, HA, Config
Management, Reporting
L2/L3 Networking, HA, Config
Management, Reporting
URL Filtering PolicyURL Filtering Policy
Port/Protocol-based ID
Port/Protocol-based ID
IPS SignaturesIPS Signatures
L2/L3 Networking, HA, Config
Management, Reporting
L2/L3 Networking, HA, Config
Management, Reporting
IPS PolicyIPS Policy
Port/Protocol-based ID
Port/Protocol-based ID
AV SignaturesAV Signatures
L2/L3 Networking, HA, Config
Management, Reporting
L2/L3 Networking, HA, Config
Management, Reporting
AV PolicyAV Policy
Firewall PolicyFirewall Policy IPS DecoderIPS Decoder AV Decoder & ProxyAV Decoder & Proxy
Page 15 | © 2008 Palo Alto Networks. Proprietary and Confidential
L2/L3 Networking, HA, ConfigManagement, Reporting
L2/L3 Networking, HA, ConfigManagement, Reporting
App-IDApp-ID
Content-IDContent-ID
Policy EnginePolicy Engine
Application Protocol Detection and Decryption
Application Protocol Detection and Decryption
Application Protocol Decoding
Application Protocol Decoding
HeuristicsHeuristics
Application SignaturesApplication Signatures
URL FilteringURL Filtering
Real-Time Threat PreventionReal-Time Threat Prevention
Data FilteringData Filtering
Page 16 |© 2008 Palo Alto Networks. Proprietary and Confidential
User-IDUser-ID
Single-Pass Parallel Processing (SP3):高速処理を実現した新しいアーキテクチャ
1.5Gbps>650Mbps>6Gbps2Gbpswith App-IDFW カタログスペック
NANA3Gbps2Gbpswith AV, AS, WFIPS カタログスペック
156Mbps426Mbps624Mbps1.6GbpsIPS テストデータ *
33Mbps(- 79 %)
54Mbps(- 65 %)
138Mbps(- 68 %)
157Mbps(- 63 %)
520Mbps(- 17 %)
1.6Gbps(- 0 %)IPS+AV テストデータ*
524Mbps(- 16 %)
1.6Gbps(- 0 %)AV テストデータ *
従来型ファイアウォールとのパフォーマンス劣化比較
F社 J社 N社
* テストデータ参考:Network World Clear Choice Test / UTM Firewall
従来型ファイアウォール製品
PA-4020
専用設計されたハードウェアプラットフォーム
制御プレーン(管理・制御系の処理用)
データ転送プレーン(実データトラフィックの処理用)
Flash Matching HW エンジン
• Palo Alto Networksの統一シグネチャ
• 複数のMemory領域 – パフォーマンスを向上させるためのMemory容量
マルチコア セキュリティ プロセッサ
• 柔軟なセキュリティ機能を実現するための数多くのプロセッサー群
• 標準的な処理のためのハードウェアアクセラレーション (SSL, IPSec, 圧縮データの展開)
専用の管理プレーン
• 冗長化の管理
• 高速なロギング処理、ルーティング計算
10Gbps
Flash MatchingEngine
RAM
RAM
RAM
RAM
Dual-coreCPU RAM
RAM
HDD
10 Gig ネットワーク プロセッサ
• セキュリティプロセッサの前段でネットワーク処理を実施
• QoS, route lookup, MAC lookup そしてNATをハードウェアで処理
CPU16. .
SSL IPSecDe-
Compression
CPU1
CPU2
10Gbps
RAM
RAMCPU3
QoS
Route, ARP, MAC
lookup
NAT
柔軟な導入オプション
アプリケーションの可視化 透過的なインライン導入 既存FWとの置き換え
• ミラーポートに接続
• 既存環境に影響を与えることなくアプリケーションの把握が可能
• 既存FWの背後に導入
• 既存環境にて設計変更なくアプリケーションの把握と制御が可能
• 既存FWを置き換え
• アプリケーションの可視化と制御、ポリシー管理をハイパフォーマンスで全て提供
PAN-OS ソフトウェア機能
• ネットワーク基本機能をサポート : - 動的ルーティング (OSPF, RIPv2)- Tap モード:ミラーポートでの接続
- Virtual wire (“Layer 1”) モード:完全に透過的
なインライン接続
- L2/L3 スイッチング機能
• コンテンツセキュリティ機能 :- ファイルおよびデータフィルタリング
- 脅威防御 (※別ライセンス)
- Web フィルタリング (※別ライセンス)
• VPN 機能
- サイト間VPN:IPsec VPN- リモートアクセスVPN:SSL VPN
• QoS- ポリシーベースでの帯域制御および優先制御
• SSL複合検査
- Inbound、Outboundの両方向通信に対応
• High Availability(冗長化): - Active / Standby のみ
- 設定およびセッション情報の同期
- 外部ホスト、リンクそしてHA ポートを監視
• Virtual System :- 一つのデバイス上に複数の仮想システムを構築
• IPv6- IPv4と同様にApp-IDによるアプリケーション識別とContent-IDによる UTM 処理に対応
アプリケーションの可視化と制御、ユーザ識別とコンテンツスキャンはファイアウォールのコア機能として完全統合
© 2009 Palo Alto Networks. Proprietary and Confidential.Page 21 |
Perfo
rman
ce
Remote Office/Medium Enterprise
Large Enterprise
•PA-2000 シリーズ
•1Gbpsファイアウォール500Mbps脅威防御
•PA-4000 シリーズ
•500Mbpsファイアウォール
200Mbps 脅威防御
2Gbpsファイアウォール2Gbps 脅威防御
10Gbps ファイアウォール5Gbps 脅威防御
10Gbpsファイアウォール5Gbps 脅威防御
(XFP インタフェース)
•PA-500•250Mbpsファイアウォール100Mbps 脅威防御
• アプリケーション識別 (~900)• ユーザー識別
• きめ細やかな可視化&制御
• リアルタイムコンテンツセキュリティ
• 低遅延でのマルチギガビット処理
• 透過的な導入を実現
PA シリーズ ラインナップ
© 2009 Palo Alto Networks. Proprietary and ConfidentialPage 22 |
Palo Alto Networks を導入した主要企業
医療 金融サービス 政府・官公庁
製造 / ハイテク / エネルギー 教育サービスプロバイダ / サービス
メディア / 娯楽 / 小売り
•craigslist
まとめ
• 従来のファイアウォールは既に本来の役割を果たしていない- アプリケーションは進化してファイアウォールを容易にバイパス
- ユーザはネットワーク上でやりたい放題
- 継続的なビジネスのためにも、増大するリスクへの対策は必要不可欠
• 今求められる次世代ファイアウォール – Firewall 2.0- 従来と全く異なる新しいファイアウォールのアーキテクチャを採用
- 重要な5つの要件を実現:アプリケーション識別、ユーザ識別、柔軟なポリシー制御と可視化、高度なコンテンツセキュリティ、そしてパフォーマンス
• PA シリーズによる新しいセキュリティ運用のかたち
- 真のデバイス統合によるコスト削減
- ネットワークを可視化し、シンプルで効果的かつ簡単なセキュリティ管理を実現
© 2007 Palo Alto Networks. Proprietary and ConfidentialPage 24 |
Thank You