SASE (Secure Access Service Edge) へのロードマップ Cloudflare Japan株式会社 Solutions Architect - SASE | CISSP#85299 Naoteru Kokubu(國分 直晃)

Naoteru Kokubu(國分 直晃) Cloudflare Japan (クラウドフレアジャパン）株式会社 Solutions Architect - SASE, CISSP Solutions Architect - SASEとして2023年1月にCloudflareに入社。 Cloudflare入社前には、プログラミング会社、大手ストレージベンダーや大手セ キュリティ（ネットワーク）ベンダーに勤務しており、特にセキュリティ分野では 16 年以上のプリセールス経験を有し、 Webやメールといったコンテンツセキュリ ティ、クラウドセキュリティ、 SASE、CASB、DNSセキュリティを得意分野としてい る。また、IT業界では26年以上という経験と実績を有し、プリセールス活動ととも に、講演や執筆、寄稿など啓蒙活動を数多く行っている。 CISSPは2005年に取 得。 　　 @naocfcloud 自己紹介 自己紹介

用語の整理と重要なコンポーネント

用語の整理 Secure Your Future 2022 「VPNの脱却」とよく言われていますが VPN(Virtual Private Network) →仮想化されたプライベートネットワーク ゼロトラスト(Zero Trust) →「何も信用しない」が前提

ゼロトラストが必要な理由 Secure Your Future 2022 急激なリモートワークの加速により、 VPNの欠点が浮き彫りに・・ パフォーマンスの問題 →VPN機器への負荷増大 セキュリティの問題 →VPN機器の脆弱性など 管理コストの問題 →VPN機器の保守・バージョンアップなど

SASEの登場 Secure Your Future 2022 Secure Access Service Edge(SASE) ゼロトラスト（考え方）を元に出来たデザインが

（ご参考）ゼロトラスト実現のフレームワーク NIST SP800-207 https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html ＊こちらから抜粋しておりますのでご興味の方はこちらを参照ください。 ＊2020年8月、米国国立標準技術研究所 （NIST）が「Special Publication（SP）800-207 ゼロトラスト・アーキテクチャ」を正式公開しま した。 　ゼロトラストを実現するためのフレームワークとして、NISTがSP800‐207で定義をし、公開されています。

SASEにおける重要なコンポーネント Secure Your Future 2022 WAN as a Service (SD-WAN) Zero Trust Network Access (ZTNA) Secure Web Gateway Firewall as a Service ブラウザ分離 DLP DNS/Webフィルタ Email セキュリティ アイデンティ プロキシ デバイス ポスチャ DDoS 防御 攻撃分析 VPN ルーティング ロードバランシング Cloud Access Security Broker(CASB)

テクノロジー説明

ゼロトラスト Zero Trust Access Secure Web Gateway プライベートアプリケーション
 Cloud Apps Websites パブリックインターネット
 Data Center Public Cloud 全ロケーション、 デバイス、ユーザーに対応！ 


Cloudflare Access ゼロトラストセキュリティソリューション

複数のIDソースからでも同じアプリへのアクセスを許可 
 Cloudflare Access ゼロトラストセキュリティソリューション

Secure Web Gateway + Remote Browser Isolation（ブラウザ分離） コード 隔離実行 統制のとれた 相互作用 既知 / ゼロデイ脆弱性 ファイルダウン/アップロード コピーペースト /プリント キーボード入力 信頼できない コード あらゆるウェブサイト、 リンク、アプリ ユーザーブラウザ ゼロトラスト draw コマンド 機密データ 信頼されない 相互作用 無効化... ヘッドレスブ ラウザ ● 安全性が高く、拡張性の高い NVR（Network Vector Rendering）特許技術※の活用 ● 未知または信頼できない ウェブコンテンツから ユーザーを保護 ● 低レイテンシー、高解像度の ユーザー体験を提供 ● ユニバーサルブラウザの 互換性を提供 ※https://blog.cloudflare.com/ja-jp/cloudflare-and-remote-browser-isolation-ja-jp/

14 データ損失防止（Data Loss Prevention）とは？ DLP の使われ方： DLP ツールは、個人を特定できる情報 (Personally Identifiable Information, PII) のような機密データを 保護するために最も一般的に使用されます。 DLP サービスは通常、次の 3つのフェーズでオブジェク ト (ファイル、電子メール、パケットなど ) 内の情報を検 査し、分類します。 ● 使用中 (操作中) ● 転送中 (ネットワーク全体) ● 保管中 (ストレージ内) 管理者は、機密データが検出されたトラフィックを処理 する (許可またはブロックなど ) セキュリティポリシーを 作成することができます。 定義： データ損失防止 (Data Loss Prevention, DLP) とは情報の特性、つまり「 何であるか」に基づい て、情報の流出や破壊を検知・防止する戦略で す。

MS365のデータ流出を保護 ● トラフィックをスキャンし、 DLPプロファイルを使用し て機密性の高い文字列を インターセプト/ブロック ● Microsoft Information Protection (MIP) の秘 密度ラベルを自動的に取 得し、DLPプロファイルに 統合 DLPポリシー ユーザがセンシティブなデータを アップロードを試行 許可されてないラベル のデータをアップロー ド Internet Apps SaaS Apps 許可された データ ラベリング Microsoft Purview Sensitivity Labels (秘密度ラベル ) Public General Confidential Highly Confidential ブロックされたデー タ ブロック 許可

CASB(Cloud Access Securty Broker)の仕組み マルチモード展開: インライン プロキシ 16 プロキシ 経由 ユーザー クライアントレスアク セス ルーター インオフィス デバイス上のク ライアント データ 転送 シャドー IT ディスカバリー アプリケーション ゲートウェイ ポリシー ゼロ トラスト アクセス ポリシー データ保護とテナント管理 構成とプロファイルの検出 SaaS アプリ セキュア ステータス 承認済み レビュー中 未承認 未審査 データ 保存 所見 設定ミス 公開ファイル ユーザー アクセス サードパーティアクセス アプリへのアクセスを 制御 危険な行動をブロック するポリシーを設定 データがテナントから 流出するのを阻止

許可しているSaaSサービスへの個人アカウントでのアクセスをブロック 例）MS365を企業・団体として利用しているため企業・団体で付与したアカウントでのアクセスは許可するが、 個人で作成したアカウントでの One Driveへの通信はブロックしたい SaaSアプリケーションの制御と Tenant Contorl サポートアプリケーション ● Microsoft 365 ● Slack ● GSuite ● Dropbox →Cloudflare Gatewayを経由したトラフィックは、 上記アプリケーションに対応している 「カスタムヘッダー」を挿入しアクセスします

CASB の仕組み マルチモード展開: API 18 API経由 ユーザー クライアントレス アクセス ルーター インオフィス デバイス上の クライアント シャドー IT ディスカバリー アプリケーション ゲートウェイ ポリシー ゼロ トラスト アクセス ポリシー データ保護とテナント管理 構成とプロファイルの検出 SaaS アプリ セキュア ステータス 承認済み レビュー中 未承認 未審査 所見 設定ミス 公開ファイル ユーザー アクセス サードパーティ アクセス 許可アプリと統合 次のようなセキュリティ の問題を検出 設定ミス データ漏洩 帯域外アクセス データ 転送 データ 保存

ゼロトラストをメールセキュリティに拡張 なぜメールにZero Trustを拡張するか メールは企業の通信手段の筆頭 ベンダー パートナー 貴社 メール自体が大きな脅威となりうる 　　顧客 ● ネットワークへの侵入やマルウェアがなくても、メール攻 撃は起こりうる ● 従業員の直接のアクセス決定を越えて拡張 　　　　　→ メールが従業員に直接届く Zero Trustに基づく対応 ● メールも信頼できないもの ● メールに記載される URLへの対応（Webへのアクセス、リ モートブラウザとの連携） ● メール受信トレイをまたがる横方向への移動の排除 19

透明性、マルチモード、Zero Touch APIデプロイメント インラインデプロイメント 受信メール Area 1 メールセキュリティ [MX] Gmail O365 受信メール O365 [MX] Gmail [MX] または Area 1 メールセキュリティ ジャーナリング BCC API取り消し 柔軟なデプロイ

百聞は一見にしかず！ぜひ遊んでみてください！ 50ユーザーまで「無償」！ https://www.cloudflare.com/ja-jp/plans /zero-trust-services/

有難うございました！