AKIBA-dot-SaaS-Cloudflare-ZeroTrust

by Tkay

Slide 1

Slide 1 text

1 ゼロトラストセキュリティを実現するソリューション Cloudﬂare Zero Trust

Slide 2

Slide 2 text

2 自己紹介酒井剛（Takeshi Sakai） ● アライアンス統括部テックG ● セキュリティ系SaaS製品 Sumo Logic、Cloudﬂare Zerotrust ● 2022年4月入社 ● 前職では、EDR/CloudSWG導入、CSIRT ● Nagios/Cacti、インフラエンジニア ● 趣味：ケーキ作り、キャンプ

Slide 3

Slide 3 text

今日のお話し 3 1. ゼロトラストセキュリティ 2. Cloudﬂare Zero Trust とは 3. Cloudﬂare Zero Trust 機能紹介

Slide 4

Slide 4 text

ゼロトラストセキュリティ

Slide 5

Slide 5 text

ゼロトラストセキュリティ 5 Verify and Never Trust 決して信頼せず必ず確認せよ

Slide 6

Slide 6 text

ゼロトラストセキュリティ 6 社外リソース社内外リソース社内リソース

Slide 7

Slide 7 text

ゼロトラストセキュリティ 7 社外リソース社内外リソース社内リソースゼロトラストセキュリティゼロトラストを実現するセキュリティ概念＝

Slide 8

Slide 8 text

Cloudﬂare Zero Trust とは

Slide 9

Slide 9 text

Cloudﬂare Zero Trust とは 9 Verify and Never Trust 決して信頼せず必ず確認せよ https://www.cloudﬂare.com/ja-jp/products/zero-trust/

Slide 10

Slide 10 text

Cloudﬂare Zero Trust とは 10 ● ZTNA (Zero Trust Network Access)

Slide 11

Slide 11 text

Cloudﬂare Zero Trust とは 11 ● ZTNA (Zero Trust Network Access) ● SWG (Secure Web Gateway)

Slide 12

Slide 12 text

Cloudﬂare Zero Trust とは 12 ● ZTNA (Zero Trust Network Access) ● SWG (Secure Web Gateway) ● CASB (Cloud Access Security Broker)

Slide 13

Slide 13 text

Cloudﬂare Zero Trust とは 13 ● ZTNA (Zero Trust Network Access) ● SWG (Secure Web Gateway) ● CASB (Cloud Access Security Broker) ● RBI (Remote Browser Isolation)

Slide 14

Slide 14 text

Cloudﬂare Zero Trust とは 14 ● ZTNA (Zero Trust Network Access) ● SWG (Secure Web Gateway) ● CASB (Cloud Access Security Broker) ● RBI (Remote Browser Isolation) SASE の構成要素を提供

Slide 15

Slide 15 text

SASE とは 15 ガートナー社が考案したゼロトラストを実現するためにどんな構成要素が必要かイメージ画像

Slide 16

Slide 16 text

SASE とは 16 ガートナー社が考案したゼロトラストを実現するためにどんな構成要素が必要かイメージ画像ゼロトラストを実現するソリューションの概念

Slide 17

Slide 17 text

17 SASE と Cloudﬂare Zero Trust の関係性 https://dev.classmethod.jp/articles/cloudflareone_sase-overall/ SASEとCloudflare Oneのサービスについてまとめてみた ~全体像~

Slide 18

Slide 18 text

用語のまとめ 18 ゼロトラストセキュリティゼロトラストを実現するセキュリティの概念 SASE（サッシー）ゼロトラストを実現するソリューションの概念 ZTNA、SWG、CASB、RBI SASE が必要とする構成要素＝＝＝ Cloudﬂare Zero Trust ゼロトラストを実現するソリューション＝

Slide 19

Slide 19 text

ZTNA（Zero Trust Network Access） 19 社内リソースへ安全にアクセス

Slide 20

Slide 20 text

ZTNA（Zero Trust Network Access） 20 大丈夫！ VPNすでに導入してます。

Slide 21

Slide 21 text

ZTNA（Zero Trust Network Access） 21 VPNが突破された甚大なセキュリティ事故よくありますよね

Slide 22

Slide 22 text

ZTNA（Zero Trust Network Access） 22 ● VPNからの脱却 ○ VPN機器の脆弱性 ○ VPN認証後は全てのリソースへのアクセスが許可されてしまう ○ VPN機器の負荷による遅延 ○ 経路を迂回することによる物理的遅延 ○ 機器管理の複雑化（分散化）

Slide 23

Slide 23 text

ZTNA（Zero Trust Network Access） 23 ● 社内リソースへ安全にアクセス ○ ゼロトラストセキュリティの厳格なアクセス管理（最小権限の原則） ○ 世界最速のDNS ○ 世界最高クラスのCDN

Slide 24

Slide 24 text

SWG（Secure Web Gateway） 24 ● インターネット通信の保護 ○ URLフィルタリング、アプリケーション制御 ○ 通信の復号化とマルウェア検出 ○ 機密情報の検出と保護（DLP）

Slide 25

Slide 25 text

CASB（Cloud Access Security Broker） 25 ● シャドーITの可視化 ○ SaaSサービスの利用状況を可視化 ● サービス利用に関するコンプライアンス ○ 利用できるサービスやアクションを制限 ● SaaSサービスの利用の脅威検出

Slide 26

Slide 26 text

RBI（Remote Browser Isolation） 26 インターネットから侵入してくるゼロデイ攻撃を防ぐ

Slide 27

Slide 27 text

RBI（Remote Browser Isolation） 27 大丈夫！サンドボックス機能使ってます。

Slide 28

Slide 28 text

RBI（Remote Browser Isolation） 28 サンドボックス環境ってことマルウェアに見破られてますよ。

Slide 29

Slide 29 text

RBI（Remote Browser Isolation） 29 大丈夫！うちVDI環境ですので

Slide 30

Slide 30 text

RBI（Remote Browser Isolation） 30 お使いのVDIのパフォーマンスほんとに満足してますか？

Slide 31

Slide 31 text

RBI（Remote Browser Isolation） 31 ● VDIの問題点 ○ サイジングの確保により膨れるコスト ○ 画面操作に関するユーザー体験が比較的低い ○ トラブルが多く運用が大変

Slide 32

Slide 32 text

RBI（Remote Browser Isolation） 32 ● ブラウザの分離＝脅威の分離 ○ コピー／ペースト／印刷などの操作を制御

Slide 33

Slide 33 text

Cloudﬂare Zero Trust 機能紹介

Slide 34

Slide 34 text

IdPの統合 34 ID管理の集約 SAML/OIDCによる SSO デバイスポスチャによるアクセス制御

Slide 35

Slide 35 text

IdPの統合 35 ID管理の集約 SAML/OIDCによる SSO 追加のデバイスポスチャ認証サービストークンによるアプリケーションの認証 ST Application

Slide 36

Slide 36 text

Webアプリケーションへの通信の保護 36 Webアプリケーション（SaaS型、ホスト型）

Slide 37

Slide 37 text

Webアプリケーションへの通信の保護 37 Webアプリケーション（SaaS型、ホスト型）

Slide 38

Slide 38 text

Webアプリケーションへの通信の保護（ホスト型） 38 社内のリソースを公開してプライベートにアクセス HTTPS、RDP、SSH、 SMB、その他のTCP/UDP HTTP/3、QUICの利用が可能

Slide 39

Slide 39 text

インターネット通信の保護 39 DNSフィルタリング（世界最速 DNS 1.1.1.1） HTTPフィルタリング

Slide 40

Slide 40 text

会社が認める SaaS サービスの利用制限 40 Slackは利用許可のSaaSとなっているな Slackの利用設定をする必要があるので、対象となるドメインを調べないと… IT管理者

Slide 41

Slide 41 text

会社が認める SaaS サービスの利用制限 41 SaaSサービスのドメインが無限に増える問題

Slide 42

Slide 42 text

会社が認める SaaS サービスの利用制限 42 Slackの通信を制御しようと思うと．．．登録が必要なドメイン　１００個以上

Slide 43

Slide 43 text

会社が認める SaaS サービスの利用制限 43 数クリックでアプリケーションを制御

Slide 44

Slide 44 text

まとめ 44 ● ゼロトラスト＝”Verify and Never Trust” ● レガシーセキュリティ(VPN、サンドボックス、VDI) からの脱却 ● ゼロトラストソリューション　　　　　→　　　　　Cloudﬂare Zero Trust