Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ゼロトラスト時代の社内システムセキュリティ/ColoplTech-08-03

 ゼロトラスト時代の社内システムセキュリティ/ColoplTech-08-03

※資料内の参照リンクを選択し閲覧する場合は、ダウンロードをお願いいたします

\積極的に技術発信を行なっております/
▽ Twitter/COLOPL_Tech
https://twitter.com/colopl_tech

▽ connpassページ
http://colopl.connpass.com

▽ COLOPL Tech Blog
http://blog.colopl.dev

COLOPL Inc.

August 15, 2022
Tweet

More Decks by COLOPL Inc.

Other Decks in Technology

Transcript

  1. 2 • 2016年新卒入社 • サーバーエンジニア兼ブリッジエンジニア • デザイナー・サウンドクリエイター向けリソース管理システム開 発・運用 • セキュアアセット管理システム開発・運用

    • 海外協業先の開発サポート 氏名  : 部署名 : 山本 雄太 技術基盤本部 第2バックエンドエンジニア部 インターナルグループ 自己紹介
  2. 5 在宅業務実施に伴う脱VPNへのアプローチ 2020年 3月 少人数の在宅勤務トライアル 4月 60%以上の従業員が在宅勤務を開始 VPN利用に伴う回線速度低下と手間が課題に 6月 脱VPNプロジェクトが結成

    社内システム系 … 内製システム, 稟議システム, 社内wikiシステムなど 開発基盤系 … Git, デプロイサーバーへのssh接続など ⇨ それぞれアプローチを模索することに 8月 社内システムの脱VPN化
  3. • 社内システム系の脱VPNアプローチ ◦ そもそもVPNが不要なシステムへ乗り換える ◦ Cloud IAPを導入し、認証を強固にしてIPアドレス制限を不要にする • 開発基盤系の脱VPNアプローチ ◦

    Gitやデプロイサーバーへのssh接続の認証にCloud IAPを導入して IPア ドレス制限を不要にする ▪ 現在一部エンジニアで試用段階 ▪ 社内システムと異なりクライアント側の設定が複雑なため、  非エン ジニアの作業環境への導入フローが課題 6 在宅業務実施に伴う脱VPNへのアプローチ
  4. • 社内システム系の脱VPNアプローチ ◦ そもそもVPNが不要なシステムへ乗り換える ◦ Cloud IAPを導入し、認証を強固にしてIPアドレス制限を不要にする • 開発基盤系の脱VPNアプローチ ◦

    Gitやデプロイサーバーへのssh接続の認証にCloud IAPを導入して IPア ドレス制限を不要にする ▪ 現在一部エンジニアで試用段階 ▪ 社内システムと異なりクライアント側の設定が複雑なため、  非エン ジニアの作業環境への導入フローが課題 7 在宅業務実施に伴う脱VPNへのアプローチ
  5. ゼロトラスト・アーキテクチャの論理コンポーネントとの対応 • ポリシー実施ポイント (PEP):Cloud IAP • ポリシー決定ポイント(PDP):Cloud IAM ◦ ポリシーエンジン(PE)とポリシーアドミニストレータ(PA)は不可分

    11 Load Barancer Cloud IAP Authenticate
 Authorize
 Cloud IAM App PEP/ゲートウェイポータル
 PDP
 サブジェクト
 リソース
 データプレーン
 コントロールプレーン 
 Cloud IAP導入によるIPアドレス制限撤廃
  6. ゼロトラスト・アーキテクチャの論理コンポーネントとの対応 • ポリシー実施ポイント (PEP):Cloud IAP • ポリシー決定ポイント(PDP):Cloud IAM ◦ ポリシーエンジン(PE)とポリシーアドミニストレータ(PA)は不可分

    実装アプローチ • 拡張アイデンティティガバナンス方式(Google認証によるJWTペイロード) 実装パターン • リソースポータルモデル ◦ ポリシー実施ポイントはCloud IAP(=ゲートウェイポータル) 12 Cloud IAP導入によるIPアドレス制限撤廃
  7. もしCloud IAPを突破されても大丈夫か • JWT検証 • 社員情報との付き合わせ • エラーや不正アクセス検知時のアラート • 何が起こったかを追える適切なロギング

    • 定期的なセキュリティ診断 ⇨ 攻撃されることは想定内   いかに早く気付き、何が起こったかを追える状態になっていることが重要 19 セキュリティ的懸念と対策