OCI Network Firewall 概要

Transcript

1. OCI Network Firewall 概要 2023年10月 日本オラクル株式会社

2. OCIネイティブの次世代ファイアウォール Network Firewall 2 Copyright © 2023 Oracle and/or its

   affiliates. All rights reserved. 不正なトラフィックやマルウェアからOCIネットワークを保護するファイアウォール・サービス Palo Alto Networksの最先端のテクノロジーを活用した脅威検出インテリジェンスを搭載 高可用性を考慮したデプロイメントを数ステップで作成可能 - 8Gbps(デフォルト)から最大25Gbpまで拡張可能なネットワーク帯域 - Active-ActiveのHA構成、 それぞれ別のADにデプロイ Oracleマネージドで提供されるメンテナンスフリーの脅威検出シグネチャ ユーザー要件に応じた様々なファイアウォール・ポリシーの作成 インターネット、閉域網、OCIリージョン間など様々なネットワーク構成に適用が可能 主なセキュリティ機能 - ステートフル・ネットワーク・フィルタリング : IPv4/IPv6, ポート, プロトコルに基づくアクセス制御 - URLフィルタリング: ドメインやURLを用いたインバウンド・アウトバウンド通信制限 - 不正侵入検知・防止(IPS/IDS): 最新の脅威インテリジェンスで不正なトラフィックを検出し遮断 - SSLインスペクション: クライアントとサーバー間のHTTPS通信を復号しトラフィックを検査 Network Firewall ✓ ステートフル・ネットワーク・フィルタリング ✓ URLフィルタリング ✓ 不正侵入検知・防止 (IPS/IDS) ✓ SSLインスペクション ✓ ✕

3. ステートフル・ネットワーク・フィルタリング 送信元および宛先のIPアドレス、ポート、プロトコルに基づいて トラフィックを許可または拒否する ポリシーに使用できるルール要素 - 送信元IPアドレス (IPv4/IPv6) - 送信元ポート番号 -

   宛先IPアドレス - 宛先ポート番号 (IPv4/IPv6) - プロトコル 例) SSH: TCP/22, HTTPS: TCP/443 範囲指定: TCP/5901-5910 デフォルトの動作を下記選択することが可能 - ホワイトリスト: デフォルト拒否、許可するルールを指定 - ブラックリスト: デフォルト許可、拒否するルールを指定 VCNのセキュリティリスト、セキュリティグループとは共存 Copyright © 2023 Oracle and/or its affiliates. All rights reserved. 3

4. インバウンドおよびアウトバウンドのHTTP/HTTPSトラフィックを FQDNやワイルドカードを用いたURL指定などで制限 ファイアウォール・ポリシーのルール要素として使用することができ 条件に合致したURLへの接続を許可・拒否する URL例) *.example.com - www.docs.example.comや www.example.com.uaはマッチする *.example.com/

   - www.docs.example.comはマッチするが www.example.com.uaはマッチしない mail.^.com - mail.example.com はマッチするが mail.example.sso.comはマッチしない Copyright © 2023 Oracle and/or its affiliates. All rights reserved. 4 URLフィルタリング

5. 不正侵入検知・防止(IDS・IPS) 5 Palo Alto Networksの脅威分析エンジンとUnit42 (セキュリティ研究チーム)で構築されたIDS・IPSソリューション 最新の脅威シグネチャと検知メカニズムで脅威を識別 既知の脆弱性の悪用、マルウェア、悪意のあるURL、 スパイウェア、C&C攻撃に対する検知やブロックを行う App-IDテクノロジーを使用してアプリケーション層に対する

   不正アクセスから正確に保護 - App-IDは、ポート、プロトコル、暗号化または回避技術に関係なく アプリケーションを正確に識別するPalo Alto独自のトラフィック分類 テクノロジー IDS(不正侵入検知)は、脅威を検出しログ出力のみ IPS(不正侵入防止)は、検知だけでなくトラフィックを切断する Copyright © 2023 Oracle and/or its affiliates. All rights reserved.

6. TLSで暗号化されたHTTPS通信をNetwork Firewallが 復号し、本来は暗号化されて可視化できない通信内容に 対する検査が可能に 2つのSSL復号方式をサポート - SSLフォワード・プロキシ - SSLインバウンド・インスペクション 暗号化・復号に使用なシークレット情報(秘密鍵と証明書)は

   OCI Vaultでセキュアに管理 SSL証明書やSSL暗号プロトコルの検証も実施 復号後のトラフィック検査には、侵入検知・防止の脅威分析 エンジンにより、マルウェアや不正なアクテビティを検出・遮断 Copyright © 2023 Oracle and/or its affiliates. All rights reserved. 6 SSLインスペクション

7. SSLフォワード・プロキシの動作 7 Copyright © 2023 Oracle and/or its affiliates. All

   rights reserved. Client Network Firewall Server ①クライアント側から サーバーへのSSL接続開始 ②ファイアウォールがクライアントからの SSL接続リクエストを受け取って一時保留 ③ファイアウォールがサーバーへのSSL接続開始 ④サーバーから証明書をファイアウォールへ送付 ⑤ファイアウォールが証明書をチェックし、自らの証明書を用いて サーバー証明書をサインしてからクライアントへ送付 ⑥クライアントがファイアウォールからの 証明書をチェック ⑦クライアントからファイアウォールへ、ファイアウォールからサーバーへのそれぞれのSSL接続が完了し通信開始 ファイアウォールがサーバーからきたトラフィックを復号してからセキュリティルールにより内容をチェックし、問題ないトラフィックを再暗号化してクライアントに送る

8. SSLインバウンド・インスペクションの動作 8 Copyright © 2023 Oracle and/or its affiliates. All

   rights reserved. Client Network Firewall Server ①ファイアウォールにサーバーの証明書と秘密鍵を配置 ②クライアント側からサーバーへの TLS接続開始 ③ファイアウォールがサーバーの証明書とプライベートキーを用いて、トラフィックを復号し その中身をチェックする ④ファイアウォールが透過的にSSLトラフィックの復号し、セキュリティルールの内容に沿ってチェックする

9. Network Firewallは、必ず一つのファイアウォールポリシーが必要 ファイアウォールポリシーは、セキュリティ・ルールと復号ルールから構成される セキュリティ・ルールまたは復号ルールが複数ある場合は、適用オーダーに従って順番にルールを判定する ファイアウォール・ポリシーの構成要素 Copyright © 2023 Oracle and/or

   its affiliates. All rights reserved. 9 Network Firewall セキュリティ・ルール リスト ルール・アクション 復号ルール 条件 ルール・アクション ファイアウォール・ポリシー

10. リスト ファイアウォール・ポリシーの構成要素 10 概要 設定例 アプリケーションリスト 拒否または許可するアプリケーション ※2023年10月時点ではICMPのみ 対応プロトコル: ICMPまたはICMPv6

    ICMPタイプ:0-8, ICMPコード: 0-3 指定可能最大数: 2500 ICMP: ICMPタイプ 8(エコー), ICMPコード 0 サービスリスト 拒否または許可するプロトコル・ポートの組み合わせ 対応プロトコル: TCP, UDP ポート範囲: 0-65535 指定可能最大数: 2000 SSH: TCP/22 HTTPS: TCP/443 範囲指定: TCP/5901-5910 URLリスト 拒否または許可するURL URLのマッチングに(*)ワイルドカード、(^)キャレットが使用可 http//またはhttps://はリストには含めない 指定可能最大数: 1000 *.example.com www.docs.example.comや www.example.com.uaはマッチする mail.^.com mail.example.com はマッチするが mail.example.sso.comはマッチしない IPアドレスリスト 拒否または許可するIPアドレス, CIDRブロック IPv4、IPv6に対応 指定可能最大数: 20000 10.0.0.0/16 10.1.0.0/24 2001:DB8::/32 2603:c020:0:6a00::/56 リストは、セキュリティ・ルールで条件として使用される要素 Copyright © 2023 Oracle and/or its affiliates. All rights reserved.

11. ファイアウォール・ポリシーの構成要素 セキュリティ・ルール セキュリティ・ルールは、リストとルール・アクションを紐づけ、ファイアウォール・ポリシーの核となる要素 ルール・アクションは、リストに該当した場合のファイアウォールの動作を指定する セキュリティ・ルールは、最大10000まで作成することができ、それぞれのルールに適用オーダーを指定する どのルールにも該当しない場合は、トラフィックは拒否される ルールアクションの侵入検知、侵入防止は、ブルートフォースや不正なコード実行などのトラフィックを監視し遮断する 侵入検知・侵入防止の脅威シグネチャは、Palo Alto Networksから最新が提供される

    JSONファイルによるバルクインポートが可能 11 リスト ルール・アクション (※いずれかひとつを選択) セキュリティルール アプリケーションリスト サービスリスト URLリスト IPアドレスリスト トラフィックの許可 トラフィックの削除 侵入検知 侵入防止 トラフィックの拒否 Copyright © 2023 Oracle and/or its affiliates. All rights reserved.

12. 12 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション：トラフィックの許可 ルール1 ソースIP:

    172.16.2.100 宛先IP: 172.16.1.0/24 サービスリスト: 3389,5801/TCP ルール・アクション：トラフィックの許可 ルール2 セキュリティ・ルール ルール1では、接続元IPの制限なくSSHの接 続を許可、ルール2では、特定のIPから リモートデスクトップのポートを許可する設定 ルールにマッチしない場合はデフォルトで拒否 ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション：侵入防止 ルール1 Network Firewallを通過するすべてのトラ フィックは侵入防止(IPS)にてチェックされる ※任意はすべてを意味する ソースIP: 172.16.0.0/16 宛先IP: 172.16.0.0/16 サービスリスト: 80,443/TCP URLリスト: customapp.com ルール・アクション：トラフィックの許可 ルール1 ルール1: 社内WEBシステムのアクセスを限定 ルール2: SSHのアクセスを限定 ルール3: 上記ルールに該当しないすべての トラフィックを対象に侵入検知(IDS)でチェック Copyright © 2023 Oracle and/or its affiliates. All rights reserved. ソースIP: 任意のIPアドレス 宛先IP:任意のIPアドレス サービスリスト: 任意のプロトコル ルール・アクション：侵入検知 ルール3 ソースIP: 0.0.0.0/0 宛先IP: 172.16.1.0/24 サービスリスト: 22/TCP ルール・アクション：トラフィックの許可 ルール2 ファイアウォール・ポリシーの構成要素 セキュリティ・ルールの動作例

13. 復号ルール SSLインスペクションに必要な復号ルールは、条件(IPアドレス)とルール・アクションで構成される 復号ルールは、最大で1000まで作成することができ、それぞれのルールに適用オーダーを指定する 復号に必要な使用なシークレット(秘密鍵と証明書のセット)は、OCI Vaultのシークレットに格納する SSLフォワード・プロキシは、CAの証明書と秘密鍵が必要 SSLフォワード・プロキシに対応するシークレットの指定は１つのみ SSLインバウンド・インスペクションは、対象とするWebサーバーのサーバー証明書と秘密鍵が必要 SSLインバウンド・インスペクションに対応するシークレットは、300まで ファイアウォール・ポリシーの構成要素

    13 Copyright © 2023 Oracle and/or its affiliates. All rights reserved. 条件 ルールアクション 復号ルール ソースIPアドレス 宛先IPアドレス (IPアドレスリストから、もしくはすべてのIPアドレス) SSLフォワード・プロキシを含むトラフィックを復号 SSLインバウンド・インスペクションを含むトラフィックを復号 復号化しない

14. ファイアウォール・ポリシーの構成要素 復号プロファイル 14 タイプ 動作オプション 概要 SSLフォワード プロキシ 期限切れ証明書をブロック サーバの証明書が期限切れの場合はセッションをブロック

    信頼されていない発行者をブロック サーバの証明書が信頼されていない認証局（CA）によって発行されている場合、セッションをブロック ブロック・タイムアウト証明書 証明書のステータス・チェックがタイムアウトした場合にセッションをブロック サポートされていない暗号のブロック SLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック 不明な証明書をブロック 証明書ステータスが「不明」として返された場合、セッションをブロック 証明書拡張の制限 拡張をキー用途と拡張キー用途に制限 代替名の自動インクルード サーバ証明書がない場合、サブジェクト代替名（SAN）を偽装証明書に自動的に追加 リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック SSLインバウンド インスペクション サポートされていないバージョンのセッションをブロック サポートされていないバージョンのSSLプロトコルを持つセッションをブロック サポートされていない暗号のブロック SSLハンドシェイクで指定されたSSL暗号スイートがサポートされていない場合にセッションをブロック リソースがない場合はブロック 使用可能な処理リソースがない場合は、セッションをブロック Copyright © 2023 Oracle and/or its affiliates. All rights reserved. SSLインスペクション実行時にセッション・モードのチェック、サーバーのチェックおよび失敗のチェックを制御する

15. Copyright © 2023 Oracle and/or its affiliates. All rights reserved.

    15 Network Firewallインスタンスのメトリック - 送信パケット数、受信パケット数 - セキュリティ・ルールヒット数、復号ルールヒット数 メトリックを基に、パフォーマンス監視や 検知またはブロックしている該当セキュリティ・ルールなどを把握 メトリックは指定された値に到達した際、管理者への アラート通知も可能 Network Firewallのログは、Loggingサービスによって Threatログ、Trafficログとして管理 ログは、 JSONフォーマット, 最大6カ月保存 Service Connector Hubと連携することで、オブジェクト ストレージやLogging Anlayticsに長期保存することが可能 メトリックおよびログによる監視・分析

16. Network Firewallログのサービス連携 16 Service Connector Hubから直接Logging Analyticsにデータ連携し、詳細なログ分析が可能 Logging Analyticsは、機械学習のテクノロジーを活用した横断的なログ分析やダッシュボードを提供 -

    OCIやオンプレミスにある様々なOSやミドルウェアのログに対応しログの取り込みからビジュアライズまでをサポート - 異常値の検出、クラスタ分析、トレンド分析など、経験やスキルを問わず誰でも高度な分析 - ログデータに応じたアラート通知 (Notificationサービス連携) Copyright © 2023 Oracle and/or its affiliates. All rights reserved. Logging Service Connector Hub Logging Analytics JSON形式の TrafficとThreatログ Network Firewall ログの出力管理 Loggingのログを Logging Analyticに 直接転送する 可読性の高いログのビジュアライズと ダッシュボードによる網羅的なログ分析

17. 検出された不正トラフィック例 Copyright © 2023 Oracle and/or its affiliates. All rights

    reserved. 17 Network Firewallが検知した1週間の不正トラフィック どこの国からのアクセスか？ 不正トラフィックのカテゴリと比率 Network Firewallが判別した不正トラフィックの種類 ※これらの画面はLogging Analyticsのものです

18. Network Firewallでインターネットアクセスを監視する基本的な設定例 インバウンドおよびアウトバウンド・トラフィックを保護 18 Copyright © 2023 Oracle and/or its

    affiliates. All rights reserved. VCN 172.16.0.0/21 Firewall Subnet 172.16.1.0/24 Internet Gateway Secure Public Subnet 172.16.0.0/24 Instance 172.16.0.1 Network Firewall 172.16.1.100 Destination CIDR Route Target 0.0.0.0/0 172.16.1.100 Internet Destination CIDR Route Target 0.0.0.0/0 IGW ① ② ③ Destination CIDR Route Target 172.16.0.0/24 172.16.1.100 Internet Gateway Route Table Firewall Subnet Route Table Secure Public Route Table ④ ⑤ vNIC0 ① ③ FW ④ ② ⑤ ： インバウンド ： アウトバウンド FW インバウンド・アウトバウンドのトラフィックを Network Firewallに通過させる

19. Internet Gateway + Load Balancer トラフィック監視 Copyright © 2023 Oracle

    and/or its affiliates. All rights reserved. 19 Tokyo Region nwfw-vcn1 172.16.0.0/21 Firewall Subnet 172.16.2.0/24 Internet Gateway Network Firewall 172.16.2.31 Internet Destination CIDR Route Target 0.0.0.0/0 IGW Private Subnet 172.16.1.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.2.31 Instance Public Subnet 172.16.0.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.2.31 Load Balancer 193.122.183.219 Internet Gateway RouteTable Destination CIDR Route Target 172.16.0.0/24 172.16.2.31 172.16.1.0/24 172.16.2.31 Route Table Route Table Route Table

20. NAT Gateway トラフィック監視 Copyright © 2023 Oracle and/or its affiliates.

    All rights reserved. 20 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet 172.16.3.0/24 NAT Gateway Network Firewall 172.16.3.202 Internet Private Subnet 172.16.4.0/24 Destination CIDR Route Target 0.0.0.0/0 172.16.3.202 Instance NAT Gateway RouteTable Destination CIDR Route Target 0.0.0.0/0 NATGW Destination CIDR Route Target 172.16.4.0/24 172.16.3.202 Route Table Route Table

21. サブネット間トラフィック監視 (Intra-VCNルーティング) Copyright © 2023 Oracle and/or its affiliates. All

    rights reserved. 21 Tokyo Region VCN 172.16.0.0/21 Firewall Private Subnet 172.16.3.0/24 Network Firewall 172.16.3.202 Destination CIDR Route Target Private Subnet 172.16.1.0/24 Destination CIDR Route Target 172.16.2.0/24 172.16.3.202 Instance Private Subnet 172.16.2.0/24 Destination CIDR Route Target 172.16.1.0/24 172.16.3.202 Instance Route Table Route Table Route Table

22. オンプレミスとVCN間のトラフィック監視 Copyright © 2023 Oracle and/or its affiliates. All rights

    reserved. 22 On-Premises 10.0.0.0/16 Customer Premises Equipment Tokyo Region Hub-VCN 172.16.0.0/21 Firewall Private Subnet 172.16.0.0/24 Network Firewall 172.16.0.101 Destination CIDR Route Target 10.0.0.0/16 DRG Site-to-Site VPN DRG Private Subnet 172.16.1.0/24 Instance Destination CIDR Route Target 10.0.0.0/16 172.16.0.101 VCN Route Table Destination CIDR Route Target 172.16.0.0/21 172.16.0.101 Route Table Route Table

23. VCN間トラフィック監視 (Hub & Spoke) Copyright © 2023 Oracle and/or its

    affiliates. All rights reserved. 23 Tokyo Region Spoke-VCN 1 172.16.1.0/24 Private Subnet 172.16.1.0/24 Instance Destination CIDR Route Target 172.16.0.0/24 DRG 172.16.2.0/24 DRG Spoke-VCN 2 172.16.2.0/24 Private Subnet 172.16.2.0/24 Instance Destination CIDR Route Target 172.16.0.0/24 DRG 172.16.1.0/24 DRG Hub-VCN 172.16.0.0/24 Firewall Private Subnet 172.16.0.0/24 Network Firewall 172.16.0.114 Destination CIDR Route Target 172.16.1.0/21 DRG 172.16.2.0/21 DRG Destination CIDR Attachment Name DRG Route 172.16.0.0/24 Hub-VCN 172.16.1.0/24 -> Spoke-VCN1 172.16.2.0/24 -> Spoke-VCN2 172.16.1.0/24 Spoke-VCN1 0.0.0.0/0 -> Hub-VCN 172.16.2.0/24 Spoke-VCN2 0.0.0.0/0 -> Hub-VCN VCN Route (インバウンド・ルーティング用) Route Table Route Table Attachment Name Hub-VCN DRG VCN Attachment Destination CIDR Route Target 172.16.1.0/24 172.16.0.114 172.16.2.0/24 172.16.0.114 DRG Spoke-VCN1,VCN2のトラフィックは Network Firewallを必ず経由する VCN Attachment Route Table ( アウトバウンド・ルーティング用)

24. Tokyo Region オンプレミスとVCN間のトラフィック監視 (IPSec-VPN + Hub & Spoke) Copyright ©

    2023 Oracle and/or its affiliates. All rights reserved. 24 Private Subnet 192.168.1.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Private Subnet 192.168.2.0/24 Instance Destination CIDR Route Target 0.0.0.0/0 DRG Hub-VCN 192.168.0.0/24 Firewall Private Subnet 192.168.0.0/24 Network Firewall 192.168.0.105 Destination CIDR Route Target 0.0.0.0/0 DRG VCN Route (インバウンド・ルーティング用) Route Table Route Table Attachment Name Hub-VCN DRG VCN Attachment Destination CIDR Route Target 0.0.0.0/0 192.168.0.105 VCN Attachment Route Table ( アウトバウンド・ルーティング用) On-Premises 172.16.0.0/21 Customer Premises Equipment Site-to-Site VPN Spoke-VCN 1 192.168.1.0/24 Spoke-VCN 2 192.168.2.0/24 Destination CIDR Attachment Name DRG Route 192.168.0.0/24 Hub-VCN 192.168.1.0/24 → Spoke1-VCN 192.168.2.0/24 -> Spoke2-VCN 172.16.0.0/21 -> IPSec Tunnel 192.168.1.0/24 Spoke-VCN1 0.0.0.0/0 -> Hub-VCN 192.168.2.0/24 Spoke-VCN2 0.0.0.0/0 -> Hub-VCN DRG Destination CIDR Route Target 192.168.1.0/24 Hub-VCN 192.168.2.0/24 Hub-VCN IPSec DRG Table

25. Network Firewallのユースケース 25 • 外部公開しているWebアプリケーション： 境界型セキュリティ対策 パッチの適用・更新するまで既知の脆弱性から保護 例：CVE-2017-5638（リモートから任意のコードが実行可能なApache Struts2の脆弱性） •

    アウトバウンド通信： データ流出からの保護 マルウェア感染によるインターネット上にあるC&Cサーバへの接続を防止する *.amex.comやPayPalといったECサイトに不可欠なペイメントゲートウェイへの接続のみを許可する • VCNまたはサブネット間の移動： アプリケーションのセグメンテーションとゼロトラスト 全ての脅威がサブネットやVCNといった異なる信頼ドメイン間を横方向に移動するのをブロックする データベースにアクセスできる経路を最小限にし、DBの脆弱性を悪用した攻撃を遮断する Copyright © 2023 Oracle and/or its affiliates. All rights reserved.

26. Network Firewallの課金体系は、Firewall InstanceとData processingの２種類 インスタンスの課金はアクティブなインスタンスの数に基づいており、データ処理の課金はインスタンスによって 処理されるトラフィック量を対象とする 価格 26 Copyright ©

    2023 Oracle and/or its affiliates. All rights reserved. SKU PAYG（Pay As You Go rate） Oracle Cloud Infrastructure - Network Firewall Instance ¥385/時 Oracle Cloud Infrastructure - Network Firewall Data Processing ¥1.4/GB （1ヶ月あたり10TBまで無料）
27. None