Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SASE(Secure Access Service Edge)へのロードマップ

Naoteru Kokubu
May 22, 2023
Technology
0
240

SASE(Secure Access Service Edge)へのロードマップ

Naoteru Kokubu

May 22, 2023
Tweet

More Decks by Naoteru Kokubu

See All by Naoteru Kokubu
SASEへのロードマップ
naokokubu
0
110

Other Decks in Technology

See All in Technology
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.3k
Meta Quest 3 で動く桜マシマシ WebXR アプリを IBM Cloud Code Engine と Babylon.js で作った話
1ftseabass
PRO
0
120
ChatworkのSRE部って実は 半分くらいPlatform Engineering部かもしれない
saramune
0
150
ChatGPT for IT Service Management (IT Pro)
dahatake
7
1.4k
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
2
5.6k
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
340
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
2
400
生産性向上チームの紹介
cybozuinsideout
PRO
1
840
プロトタイピングによる不確実性の低減 / Reducing Uncertainty through Prototyping
ohbarye
5
370
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.3k
Cloud Native Java with Spring Boot (CNCF Aarhus, April 2024)
thomasvitale
1
160
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
2
160

Featured

See All Featured
Adopting Sorbet at Scale
ufuk
67
8.6k
Designing for humans not robots
tammielis
248
25k
Principles of Awesome APIs and How to Build Them.
keavy
120
16k
Faster Mobile Websites
deanohume
298
30k
Building Better People: How to give real-time feedback that sticks.
wjessup
354
18k
A Modern Web Designer's Workflow
chriscoyier
689
190k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
4.4k
Building Flexible Design Systems
yeseniaperezcruz
318
37k
4 Signs Your Business is Dying
shpigford
175
21k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
20
1.6k
Build your cross-platform service in a week with App Engine
jlugia
225
17k
Why Our Code Smells
bkeepers
PRO
331
56k

Transcript

  1. SASE (Secure Access Service Edge) へのロードマップ Cloudflare Japan株式会社 Solutions Architect

    - SASE | CISSP#85299 Naoteru Kokubu(國分 直晃)

  2. Naoteru Kokubu(國分 直晃) Cloudflare Japan (クラウドフレアジャパン)株式会社 Solutions Architect - SASE,

    CISSP Solutions Architect - SASEとして2023年1月にCloudflareに入社。 Cloudflare入社前には、プログラミング会社、大手ストレージベンダーや大手セ キュリティ(ネットワーク)ベンダーに勤務しており、特にセキュリティ分野では 16 年以上のプリセールス経験を有し、 Webやメールといったコンテンツセキュリ ティ、クラウドセキュリティ、 SASE、CASB、DNSセキュリティを得意分野としてい る。また、IT業界では26年以上という経験と実績を有し、プリセールス活動ととも に、講演や執筆、寄稿など啓蒙活動を数多く行っている。 CISSPは2005年に取 得。    @naocfcloud 自己紹介 自己紹介

  3. 用語の整理と重要なコンポーネント

  4. 用語の整理 Secure Your Future 2022 「VPNの脱却」とよく言われていますが VPN(Virtual Private Network) →仮想化されたプライベートネットワーク

    ゼロトラスト(Zero Trust) →「何も信用しない」が前提

  5. ゼロトラストが必要な理由 Secure Your Future 2022 急激なリモートワークの加速により、 VPNの欠点が浮き彫りに・・ パフォーマンスの問題 →VPN機器への負荷増大 セキュリティの問題

    →VPN機器の脆弱性など 管理コストの問題 →VPN機器の保守・バージョンアップなど

  6. SASEの登場 Secure Your Future 2022 Secure Access Service Edge(SASE) ゼロトラスト(考え方)を元に出来たデザインが

  7. (ご参考)ゼロトラスト実現のフレームワーク NIST SP800-207 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html *こちらから抜粋しておりますのでご興味の方はこちらを参照ください。 *2020年8月、米国国立標準技術研究所 (NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ」を正式公開しま した。

     ゼロトラストを実現するためのフレームワークとして、NISTがSP800‐207で定義をし、公開されています。

  8. SASEにおける重要なコンポーネント Secure Your Future 2022 WAN as a Service (SD-WAN)

    Zero Trust Network Access (ZTNA) Secure Web Gateway Firewall as a Service ブラウザ分離 DLP DNS/Webフィルタ Email セキュリティ アイデンティ プロキシ デバイス ポスチャ DDoS 防御 攻撃分析 VPN ルーティング ロードバランシング Cloud Access Security Broker(CASB)

  9. テクノロジー説明

  10. ゼロトラスト Zero Trust Access Secure Web Gateway プライベートアプリケーション
 Cloud Apps

    Websites パブリックインターネット
 Data Center Public Cloud 全ロケーション、 デバイス、ユーザーに対応! 


  11. Cloudflare Access ゼロトラストセキュリティソリューション

  12. 複数のIDソースからでも同じアプリへのアクセスを許可 
 Cloudflare Access ゼロトラストセキュリティソリューション

  13. Secure Web Gateway + Remote Browser Isolation(ブラウザ分離) コード 隔離実行 統制のとれた

    相互作用 既知 / ゼロデイ脆弱性 ファイルダウン/アップロード コピーペースト /プリント キーボード入力 信頼できない コード あらゆるウェブサイト、 リンク、アプリ ユーザーブラウザ ゼロトラスト draw コマンド 機密データ 信頼されない 相互作用 無効化... ヘッドレスブ ラウザ • 安全性が高く、拡張性の高い NVR(Network Vector Rendering)特許技術※の活用 • 未知または信頼できない ウェブコンテンツから ユーザーを保護 • 低レイテンシー、高解像度の ユーザー体験を提供 • ユニバーサルブラウザの 互換性を提供 ※https://blog.cloudflare.com/ja-jp/cloudflare-and-remote-browser-isolation-ja-jp/

  14. 14 データ損失防止(Data Loss Prevention)とは? DLP の使われ方: DLP ツールは、個人を特定できる情報 (Personally Identifiable

    Information, PII) のような機密データを 保護するために最も一般的に使用されます。 DLP サービスは通常、次の 3つのフェーズでオブジェク ト (ファイル、電子メール、パケットなど ) 内の情報を検 査し、分類します。 • 使用中 (操作中) • 転送中 (ネットワーク全体) • 保管中 (ストレージ内) 管理者は、機密データが検出されたトラフィックを処理 する (許可またはブロックなど ) セキュリティポリシーを 作成することができます。 定義: データ損失防止 (Data Loss Prevention, DLP) とは情報の特性、つまり「 何であるか」に基づい て、情報の流出や破壊を検知・防止する戦略で す。

  15. MS365のデータ流出を保護 • トラフィックをスキャンし、 DLPプロファイルを使用し て機密性の高い文字列を インターセプト/ブロック • Microsoft Information Protection

    (MIP) の秘 密度ラベルを自動的に取 得し、DLPプロファイルに 統合 DLPポリシー ユーザがセンシティブなデータを アップロードを試行 許可されてないラベル のデータをアップロー ド Internet Apps SaaS Apps 許可された データ ラベリング Microsoft Purview Sensitivity Labels (秘密度ラベル ) Public General Confidential Highly Confidential ブロックされたデー タ ブロック 許可

  16. CASB(Cloud Access Securty Broker)の仕組み マルチモード展開: インライン プロキシ 16 プロキシ 経由

    ユーザー クライアントレスアク セス ルーター インオフィス デバイス上のク ライアント データ 転送 シャドー IT ディスカバリー アプリケーション ゲートウェイ ポリシー ゼロ トラスト アクセス ポリシー データ保護とテナント管理 構成とプロファイルの検出 SaaS アプリ セキュア ステータス 承認済み レビュー中 未承認 未審査 データ 保存 所見 設定ミス 公開ファイル ユーザー アクセス サードパーティアクセス アプリへのアクセスを 制御 危険な行動をブロック するポリシーを設定 データがテナントから 流出するのを阻止

  17. 許可しているSaaSサービスへの個人アカウントでのアクセスをブロック 例)MS365を企業・団体として利用しているため企業・団体で付与したアカウントでのアクセスは許可するが、 個人で作成したアカウントでの One Driveへの通信はブロックしたい SaaSアプリケーションの制御と Tenant Contorl サポートアプリケーション •

    Microsoft 365 • Slack • GSuite • Dropbox →Cloudflare Gatewayを経由したトラフィックは、 上記アプリケーションに対応している 「カスタムヘッダー」を挿入しアクセスします

  18. CASB の仕組み マルチモード展開: API 18 API経由 ユーザー クライアントレス アクセス ルーター

    インオフィス デバイス上の クライアント シャドー IT ディスカバリー アプリケーション ゲートウェイ ポリシー ゼロ トラスト アクセス ポリシー データ保護とテナント管理 構成とプロファイルの検出 SaaS アプリ セキュア ステータス 承認済み レビュー中 未承認 未審査 所見 設定ミス 公開ファイル ユーザー アクセス サードパーティ アクセス 許可アプリと統合 次のようなセキュリティ の問題を検出 設定ミス データ漏洩 帯域外アクセス データ 転送 データ 保存

  19. ゼロトラストをメールセキュリティに拡張 なぜメールにZero Trustを拡張するか メールは企業の通信手段の筆頭 ベンダー パートナー 貴社 メール自体が大きな脅威となりうる   顧客 •

    ネットワークへの侵入やマルウェアがなくても、メール攻 撃は起こりうる • 従業員の直接のアクセス決定を越えて拡張      → メールが従業員に直接届く Zero Trustに基づく対応 • メールも信頼できないもの • メールに記載される URLへの対応(Webへのアクセス、リ モートブラウザとの連携) • メール受信トレイをまたがる横方向への移動の排除 19

  20. 透明性、マルチモード、Zero Touch APIデプロイメント インラインデプロイメント 受信メール Area 1 メールセキュリティ [MX] Gmail

    O365 受信メール O365 [MX] Gmail [MX] または Area 1 メールセキュリティ ジャーナリング BCC API取り消し 柔軟なデプロイ

  21. 百聞は一見にしかず!ぜひ遊んでみてください! 50ユーザーまで「無償」! https://www.cloudflare.com/ja-jp/plans /zero-trust-services/

  22. 有難うございました!