1

常時SSL化への対策F5 BIG-IPによるSSL可視化ソリューション

F5ネットワークスジャパン合同会社2015年11月

2

© F5 Networks, Inc 2

セキュリティ対策とはリスク管理

リスク = 脅威 × 脆弱性 × 情報資産

脅威

情報資産を脅かす行為 サイバー攻撃

DDoS攻撃 不正なログイン SQLインジェクション ホームページの改竄

脆弱性

システム上の問題点・瑕疵 脆弱性のあるソフトウェア

OS ミドルウェア、RDB アプリケーション

設定ミス

情報資産

様々な知財 ID情報、顧客情報 事業を支えるシステム

踏み台になることによる第三者への影響

悪用 剥奪

3

© F5 Networks, Inc 3

脅威から守るために

IDS/IPSOS、ミドルウェア、メールなどの脆弱性に対する攻撃を

パターンマッチングで検出、防御

WAF（Web Application Firewall）Webアプリケーションに特化し、様々な手法で脆弱性に

対する攻撃を検出、防御

次世代ファイアウォール社員の利用するアプリケーションを可視化し、アクセスの

許可／不許可などの制御を行い、様々な脅威から防御

URLフィルタリング/Secure Web Gateway不正なサイトへのアクセス、リダイレクトをブロックし、

マルウェア等に感染したPCから悪意あるWebサイトへの

通信を検知・遮断し、脅威から防御

脆弱性に対する攻撃、脅威を防御するための

代表的な手段/ソリューション

・サーバファームを守る

・クライアントPCが起因する攻撃から守る

脅威

情報資産を脅かす行為 サイバー攻撃

DDoS攻撃 不正なログイン SQLインジェクション ホームページの改竄

4

© F5 Networks, Inc 4

企業におけるセキュリティ対策

サーバロードバランサ

FWWAF

Webサーバ

IPS

インターネット

コンシューマー/ユーザーインターネット上のサイト

アプリケーション

データセンター / DMZ

次世代FWURLフィルタリング

企業ネットワーク

サーバファームへの攻撃から守るクライアントPCが起因する攻撃から守る

5

© F5 Networks, Inc 5

Ｅコマース化による需要拡大

プライバシーニーズ

モバイルデバイスの増加

SnowdenEffect

0

0.5

1

1.5

2

2.5

3

3.5

1998 2002 2006 2010 2014

Netcraft社のSSL Surveyを基にF5 Networksで作成 縦軸: SSL証明書の発行件数（単位：10K）

SSL化は年間30%で拡大

6

© F5 Networks, Inc 6

暗号化トラフィックが増加

変化への対応

• インサイダーの脅威

• 規制とコンプライアンス

• 進化し続ける暗号化方式

• 全ての端末がネットワークに接続

2017TODAY

50%

暗号化トラフィックの増加

25%

成長率/年%

SSLが必要とされ次世代プロトコル• HTTP 2.0• SPDY• TLS 1.3

20-30

• SSLの利用率は年度毎に20~30%成長• SSLは急速に変化… 新しい標準化、異なるブラウザ設定、複雑化

7

© F5 Networks, Inc 7

SSL暗号化通信が「攻撃の隠れみの」になっている

機密情報情報資産

HTTPS暗号化トラフィック（SSL/TSL）

インターネット

SSLトラフィックは

復号化しない限り

標的型対策製品/

IPS/WAFで検疫できない

次世代FWによる

SSL復号化は

パフォーマンスの

大幅な低下を招く

暗号化されたトラフィックに潜む「見えない脅威」

HTTPSを利用した

攻撃の80%が

検出を逃れている

8

© F5 Networks, Inc 8

トラフィック暗号化による課題

• 企業ネットワーク内における暗号化トラフィックの増加多くのWebサービスやクラウドアプリケーションではTLS/SSLを使用して、クライアントとのセッションのセキュリティを確保しています。

• 新しい暗号化形式、SSL鍵長による著しいパフォーマンス劣化（2048ビットは1024ビットと比較して6.3倍の処理能力が必要

• 暗号化トラフィックに潜む脅威（ マルウェア、ウイルス、フィッシングサイトなど）「2017年にはインターネットを介した攻撃の50%以上がHTTPSを介して行われる」

• セキュリティデバイスにおける暗号化トラフィックの複合化の限界

9

© F5 Networks, Inc 9

セキュリティアプライアンス製品の現状

SSL Performance Impacts On Bandwidth And Transaction Per Second Loss (Source NSS Labs)

ファイアウォール、IDS/IPSシステム、ウイルス対策保護デバイスなどの数多くのセキュリティデバイスは、暗号化されていないトラフィックを制御することを前提としておりSSLトラフィックを複合化し検査するようには設計されていません。SSL暗号化/復号化の内部サポートを提供しているデバイスもありますが、通常、パフォーマンス要件が満たされていません。Palo Alto PA-5020 has a 79% performance decrease when doing SSL (source: NSS)

10

F5 BIG-IP SSL 可視化概要

11

© F5 Networks, Inc 11

SSL可視化の意味

SSL通信への対応をしない場合、IPSや次世代ファイアウォールなどは対策の意味を成さなくなりつつあります。

課題• 次世代ファイアーウォール製品ではSSLの複合化処理を負担するとスループットが出ない• SSLのスループットを確保しようとするとハイエンドの高価なセキュリティ機器が必要• Open SSLのなどSSL自体の脆弱性などからの保護

F5のSSL可視化ソリューションは既存のセキュリティ資産を活かしつつ、

コスト効率良く暗号化通信を可視化し、SSL通信内に潜む

セキュリティリスクを排除する仕組みを提供します。

12

© F5 Networks, Inc 12

リバースプロキシ

ユーザーとアプリケーションの間に位置し、アプリの代わりにキャッシング、ロードバランシング、およびセキュリティ機能を提供します。

フォワードプロキシ

ユーザーとアプリケーションの間に位置し、キャッシングや職場からの業務に関係のないサイトなどへのアクセスを抑制します。

www ホスティング

インターネットデータセンター(サーバー群)

社員

インターネット・ユーザー

SSLの可視化(SSLリバースプロキシ & SSL フォワードプロキシ)

13

© F5 Networks, Inc 13

F5：SSL可視化し、SSLに潜む脅威から守る

次世代ファイアウォール

次世代ＩＰＳ

標的型対策 ＵＲフィルタリング その他…

ユーザ アプリケーション

• 最新の暗号化形式をサポート• SSLアクセラレーションハードウェアによる高パフォーマンスの実現

可視化

SSL SSL

WAF

14

© F5 Networks, Inc 14

BIG-IP プラットフォーム

WAF NG-IPS PASSIVE MONITOR

SSL終端及びインスペクション＋SSL変換＋インテリジェントなトラフィック管理＋SSL再暗号化

DMZ

Web/アプリケーションサーバ

Firewall Firewallインターネット

リモートユーザー

①

② ② ③

④

①BIG-IP上でのSSL終端

②復号化されたトラフィックはセキュリティを監視するサービスに順番に向けられます。ネットワークトラフィックはIDS/IPS、監視システム、WAFシステム等のセキュリティのチェーンにコントロールされ、それぞれのシステムは複数台で構成して拡張して構成可能であり、可視化、要求されたセキュリティポリシーの制御が可能です。

③復号化されたトラフィックは複製されてIDS/WAFに性能上の恩恵を得る事も可能です。

④必要によっては再暗号化してバックエンドシステムにトラフィックを向けます。

HSM

F5 SSL 可視化構成（インバウンド）

15

© F5 Networks, Inc 15

F5でできること• IPSのスケイラビリティを提供• IPSのアベイラビリティを提供• IPSへのヘルスチェック• APIの提供• ハイパフォーマンスSSLオフロード• インテリジェントなトラフィック制御• DDoS防御• White list, black listのシェア

LTM

Inbound connections

Users

App 1

Database

App n

IPS ProcessingIPS Decision Enforced or

forwarded to BIG-IP

+SSL Decrypt/ ReEncryptSession Persistence

+Traffic Flow Decision (IPS, noIPS, drop)

+Enforcing IPS Decision+DDOS Prevention

Availability/ScalabilityNo scale or connection limits

多重防御

DDOS, Malware, Behavioral

IPSの構成変更

All w/Lower TCOService change ease

Attack

+IPS Intelligent Load Balancing+High Availability

+Shared Enforcement

Customers

Partners

Signature

Anomaly

StatefulInspect

SF NGIPS

SF NGIPS

SF NGIPS

Cisco SourceFireとBIG-IPの連携ソリューション

Remediation APISF fwds or shares IP Black~/Whitelisted

Data Center

DDOSIPS blacklisted

16

© F5 Networks, Inc 16

インターネット

不正サイト

プレイサイトファイアウォール

コーポレート

感染

コーポレート

LTM + SSL Forward Proxyインターネット

正常情報漏えい対策次世代FW / URL Filtering

構成例 - SSL フォワードプロキシ + 3rd Party Device (ICAP)

• SSL通信の暗号化・複合化

• プライベート証明書による代理署名

• シンプル構成

不正サイトプレイサイト

F5 SSL可視化アウトバウンド（フォワードプロキシ）

17

© F5 Networks, Inc 17

F5 BIG-IPによるSSL可視化のメリット

1.専用アプライアンスによる最適化されたSSL暗号複合化処理を高速処理

2. SSLトラフィックの複合化と再暗号化BIG-IPが、受信したパケットをセキュリティ機器へ転送する前に復号し、宛先/ターゲットサーバーへの送信前に再度暗号化

3. 暗号化 & 複合化するトラフィックを識別し、不要なトラフィックはバイパス

4. iRulesにより柔軟に制御が可能

5. 複数のファイアウォールにトラフィックをシームレスに分散し、サイトのスケーラビリティを向上

6. エンドユーザーに対してサイトセキュリティのパフォーマンスと可用性を向上

18

さらにF5が適用可能な範囲

インターネット

FW SSL IPSIDS WAFDDOS LB

必要な機能のアプライアンスをベストオブリードで選択肢して配置

RADwareArborA10

CISCOCheckPointFortinetJuniper

Blue coat McAfeeIBMHPCisco

ImpervaBarracuda

課題

・導入コストが大

・運用の複雑化

・障害ポイントの増加

・それぞれのアプライアンスの知識の習得

・スケールアウトが出来ない。

F5で実現可能な範囲

19