...2 アプリケーションの動向 • HTTPS •S/MIME • 電子署名アプリケーション HTTPS • SSLを使い通信路の暗号化と接続先(元)の認証
常時SSL化への対策 F5 BIG-IPによるSSL可視化ソ...
Transcript of 常時SSL化への対策 F5 BIG-IPによるSSL可視化ソ...
1
常時SSL化への対策F5 BIG-IPによるSSL可視化ソリューション
F5ネットワークスジャパン合同会社2015年11月
2
© F5 Networks, Inc 2
セキュリティ対策とはリスク管理
リスク = 脅威 × 脆弱性 × 情報資産
脅威
情報資産を脅かす行為 サイバー攻撃
DDoS攻撃 不正なログイン SQLインジェクション ホームページの改竄
脆弱性
システム上の問題点・瑕疵 脆弱性のあるソフトウェア
OS ミドルウェア、RDB アプリケーション
設定ミス
情報資産
様々な知財 ID情報、顧客情報 事業を支えるシステム
踏み台になることによる第三者への影響
悪用 剥奪
3
© F5 Networks, Inc 3
脅威から守るために
IDS/IPSOS、ミドルウェア、メールなどの脆弱性に対する攻撃を
パターンマッチングで検出、防御
WAF(Web Application Firewall)Webアプリケーションに特化し、様々な手法で脆弱性に
対する攻撃を検出、防御
次世代ファイアウォール社員の利用するアプリケーションを可視化し、アクセスの
許可/不許可などの制御を行い、様々な脅威から防御
URLフィルタリング/Secure Web Gateway不正なサイトへのアクセス、リダイレクトをブロックし、
マルウェア等に感染したPCから悪意あるWebサイトへの
通信を検知・遮断し、脅威から防御
脆弱性に対する攻撃、脅威を防御するための
代表的な手段/ソリューション
・サーバファームを守る
・クライアントPCが起因する攻撃から守る
脅威
情報資産を脅かす行為 サイバー攻撃
DDoS攻撃 不正なログイン SQLインジェクション ホームページの改竄
4
© F5 Networks, Inc 4
企業におけるセキュリティ対策
サーバロードバランサ
FWWAF
Webサーバ
IPS
インターネット
コンシューマー/ユーザーインターネット上のサイト
アプリケーション
データセンター / DMZ
次世代FWURLフィルタリング
企業ネットワーク
サーバファームへの攻撃から守るクライアントPCが起因する攻撃から守る
5
© F5 Networks, Inc 5
Eコマース化による需要拡大
プライバシーニーズ
モバイルデバイスの増加
SnowdenEffect
0
0.5
1
1.5
2
2.5
3
3.5
1998 2002 2006 2010 2014
Netcraft社のSSL Surveyを基にF5 Networksで作成 縦軸: SSL証明書の発行件数(単位:10K)
SSL化は年間30%で拡大
6
© F5 Networks, Inc 6
暗号化トラフィックが増加
変化への対応
• インサイダーの脅威
• 規制とコンプライアンス
• 進化し続ける暗号化方式
• 全ての端末がネットワークに接続
2017TODAY
50%
暗号化トラフィックの増加
25%
成長率/年%
SSLが必要とされ次世代プロトコル• HTTP 2.0• SPDY• TLS 1.3
20-30
• SSLの利用率は年度毎に20~30%成長• SSLは急速に変化… 新しい標準化、異なるブラウザ設定、複雑化
7
© F5 Networks, Inc 7
SSL暗号化通信が「攻撃の隠れみの」になっている
機密情報情報資産
HTTPS暗号化トラフィック(SSL/TSL)
インターネット
SSLトラフィックは
復号化しない限り
標的型対策製品/
IPS/WAFで検疫できない
次世代FWによる
SSL復号化は
パフォーマンスの
大幅な低下を招く
暗号化されたトラフィックに潜む「見えない脅威」
HTTPSを利用した
攻撃の80%が
検出を逃れている
8
© F5 Networks, Inc 8
トラフィック暗号化による課題
• 企業ネットワーク内における暗号化トラフィックの増加多くのWebサービスやクラウドアプリケーションではTLS/SSLを使用して、クライアントとのセッションのセキュリティを確保しています。
• 新しい暗号化形式、SSL鍵長による著しいパフォーマンス劣化(2048ビットは1024ビットと比較して6.3倍の処理能力が必要
• 暗号化トラフィックに潜む脅威( マルウェア、ウイルス、フィッシングサイトなど)「2017年にはインターネットを介した攻撃の50%以上がHTTPSを介して行われる」
• セキュリティデバイスにおける暗号化トラフィックの複合化の限界
9
© F5 Networks, Inc 9
セキュリティアプライアンス製品の現状
SSL Performance Impacts On Bandwidth And Transaction Per Second Loss (Source NSS Labs)
ファイアウォール、IDS/IPSシステム、ウイルス対策保護デバイスなどの数多くのセキュリティデバイスは、暗号化されていないトラフィックを制御することを前提としておりSSLトラフィックを複合化し検査するようには設計されていません。SSL暗号化/復号化の内部サポートを提供しているデバイスもありますが、通常、パフォーマンス要件が満たされていません。Palo Alto PA-5020 has a 79% performance decrease when doing SSL (source: NSS)
10
F5 BIG-IP SSL 可視化概要
11
© F5 Networks, Inc 11
SSL可視化の意味
SSL通信への対応をしない場合、IPSや次世代ファイアウォールなどは対策の意味を成さなくなりつつあります。
課題• 次世代ファイアーウォール製品ではSSLの複合化処理を負担するとスループットが出ない• SSLのスループットを確保しようとするとハイエンドの高価なセキュリティ機器が必要• Open SSLのなどSSL自体の脆弱性などからの保護
F5のSSL可視化ソリューションは既存のセキュリティ資産を活かしつつ、
コスト効率良く暗号化通信を可視化し、SSL通信内に潜む
セキュリティリスクを排除する仕組みを提供します。
12
© F5 Networks, Inc 12
リバースプロキシ
ユーザーとアプリケーションの間に位置し、アプリの代わりにキャッシング、ロードバランシング、およびセキュリティ機能を提供します。
フォワードプロキシ
ユーザーとアプリケーションの間に位置し、キャッシングや職場からの業務に関係のないサイトなどへのアクセスを抑制します。
www ホスティング
インターネットデータセンター(サーバー群)
社員
インターネット・ユーザー
SSLの可視化(SSLリバースプロキシ & SSL フォワードプロキシ)
13
© F5 Networks, Inc 13
F5:SSL可視化し、SSLに潜む脅威から守る
次世代ファイアウォール
次世代IPS
標的型対策 URフィルタリング その他…
ユーザ アプリケーション
• 最新の暗号化形式をサポート• SSLアクセラレーションハードウェアによる高パフォーマンスの実現
可視化
SSL SSL
WAF
14
© F5 Networks, Inc 14
BIG-IP プラットフォーム
WAF NG-IPS PASSIVE MONITOR
SSL終端及びインスペクション+SSL変換+インテリジェントなトラフィック管理+SSL再暗号化
DMZ
Web/アプリケーションサーバ
Firewall Firewallインターネット
リモートユーザー
①
② ② ③
④
①BIG-IP上でのSSL終端
②復号化されたトラフィックはセキュリティを監視するサービスに順番に向けられます。ネットワークトラフィックはIDS/IPS、監視システム、WAFシステム等のセキュリティのチェーンにコントロールされ、それぞれのシステムは複数台で構成して拡張して構成可能であり、可視化、要求されたセキュリティポリシーの制御が可能です。
③復号化されたトラフィックは複製されてIDS/WAFに性能上の恩恵を得る事も可能です。
④必要によっては再暗号化してバックエンドシステムにトラフィックを向けます。
HSM
F5 SSL 可視化構成(インバウンド)
15
© F5 Networks, Inc 15
F5でできること• IPSのスケイラビリティを提供• IPSのアベイラビリティを提供• IPSへのヘルスチェック• APIの提供• ハイパフォーマンスSSLオフロード• インテリジェントなトラフィック制御• DDoS防御• White list, black listのシェア
LTM
Inbound connections
Users
App 1
Database
App n
IPS ProcessingIPS Decision Enforced or
forwarded to BIG-IP
+SSL Decrypt/ ReEncryptSession Persistence
+Traffic Flow Decision (IPS, noIPS, drop)
+Enforcing IPS Decision+DDOS Prevention
Availability/ScalabilityNo scale or connection limits
多重防御
DDOS, Malware, Behavioral
IPSの構成変更
All w/Lower TCOService change ease
Attack
+IPS Intelligent Load Balancing+High Availability
+Shared Enforcement
Customers
Partners
Signature
Anomaly
StatefulInspect
SF NGIPS
SF NGIPS
SF NGIPS
Cisco SourceFireとBIG-IPの連携ソリューション
Remediation APISF fwds or shares IP Black~/Whitelisted
Data Center
DDOSIPS blacklisted
16
© F5 Networks, Inc 16
インターネット
不正サイト
プレイサイトファイアウォール
コーポレート
感染
コーポレート
LTM + SSL Forward Proxyインターネット
正常情報漏えい対策次世代FW / URL Filtering
構成例 - SSL フォワードプロキシ + 3rd Party Device (ICAP)
• SSL通信の暗号化・複合化
• プライベート証明書による代理署名
• シンプル構成
不正サイトプレイサイト
F5 SSL可視化アウトバウンド(フォワードプロキシ)
17
© F5 Networks, Inc 17
F5 BIG-IPによるSSL可視化のメリット
1.専用アプライアンスによる最適化されたSSL暗号複合化処理を高速処理
2. SSLトラフィックの複合化と再暗号化BIG-IPが、受信したパケットをセキュリティ機器へ転送する前に復号し、宛先/ターゲットサーバーへの送信前に再度暗号化
3. 暗号化 & 複合化するトラフィックを識別し、不要なトラフィックはバイパス
4. iRulesにより柔軟に制御が可能
5. 複数のファイアウォールにトラフィックをシームレスに分散し、サイトのスケーラビリティを向上
6. エンドユーザーに対してサイトセキュリティのパフォーマンスと可用性を向上
18
さらにF5が適用可能な範囲
インターネット
FW SSL IPSIDS WAFDDOS LB
必要な機能のアプライアンスをベストオブリードで選択肢して配置
RADwareArborA10
CISCOCheckPointFortinetJuniper
Blue coat McAfeeIBMHPCisco
ImpervaBarracuda
課題
・導入コストが大
・運用の複雑化
・障害ポイントの増加
・それぞれのアプライアンスの知識の習得
・スケールアウトが出来ない。
F5で実現可能な範囲
19