SSL通信におけるアクセス制御の緻密化と可視化について

Transcript

1. リクルートテクノロジーズ ITソリューション統括部 笹川 慶介 2017年11月13日 SSL通信における アクセス制御の緻密化と可視化について

2. 自己紹介 2 (C) Recruit Technologies Co.,Ltd. All rights reserved. 笹川

   慶介 Keisuke Sasagawa 株式会社リクルートテクノロジーズ ITソリューション統括部 インフラソリューション１部 ELIXIR２グループ サイトリライアビリティエンジニアリング部RAFTELグループ

3. 自己紹介（主な経歴） 3 (C) Recruit Technologies Co.,Ltd. All rights reserved. 2005

   ～  新卒で通信キャリアに入社、バックボーン構築部門に配属 • OSPF/BGPを主とした大規模ネットワークの構築を経験  2008 ～  ネットワークインテグレータにて主に官公庁や一般企業のネットワーク 構築を担当 • WAN/LAN/無線LAN/FW等の提案・設計・構築を経験  2016 ～  リクルートにて商用インフラのネットワーク担当 • セキュアインフラELIXIRのネットワーク設計構築運用 • 商用プライベートクラウドRAFTELのネットワーク設計構築運用

4. リクルートテクノロジーズとは 4 (C) Recruit Technologies Co.,Ltd. All rights reserved. リクルートキャリア

   リクルートジョブズ リクルートスタッフィング リクルート住まいカンパニー リクルートライフスタイル リクルートマーケティングパートナーズ スタッフサービス・ホールディングス リクルートアドミニストレーション リクルートコミュニケーションズ 事業会社 機能会社 ネットインフラ 大規模プロジェクト推進 UXD/SEO ビッグデータ機能 テクノロジーR&D 事業・社内IT推進 リクルート ホールディングス リクルートとは、 主要７事業会社＋３機能会社 で構成されるグループ企業群 私が所属する会社は リクルートテクノロジーズ セキュリティ AP基盤・オフショア開発

5. リクルートテクノロジーズとは 5 (C) Recruit Technologies Co.,Ltd. All rights reserved. 【リクルートの商用インフラ】

   ライフイベント領域 進学 就職 結婚 転職 住宅購入 車購入 出産/育児 旅行 ビジネス支援 生活/地域情報 グルメ・美容 ライフスタイル領域 プライベートクラウド （RAFTEL） パブリッククラウド （Rクラウド） セキュリティインフラ （ELIXIR）

6. ELIXIRとは 6 (C) Recruit Technologies Co.,Ltd. All rights reserved. VDI

   Internet SOC DB DB VDI VDI

7. SSLi導入 7 (C) Recruit Technologies Co.,Ltd. All rights reserved. VDI

   Internet Thunder1030S Thunder1030S Thunder840 / /VDI Thunder SSLi

8. SSLi導入(本番/開発環境) 8 (C) Recruit Technologies Co.,Ltd. All rights reserved. VDI

   Internet Thunder1030S Thunder1030S Thunder840

9. SSLi導入の背景(本番/開発環境) 9 (C) Recruit Technologies Co.,Ltd. All rights reserved. (www.example.com)

   FW L3 L4 SSL SSL

10. SSLi導入(本番/開発環境) 10 (C) Recruit Technologies Co.,Ltd. All rights reserved. (www.example.com)

    FW SSLi URL Thunder SSLi SSL SSL

11. 本番/開発環境 詳細構成 Internet FW Thunder SSLi LB SW 既存通信 L3,4レベルのアクセス制御

    L7制御が必要な通信をプロキシ経由へ変更 プロキシ通信 L7レベルのアクセス制御 / L7

12. 12 (C) Recruit Technologies Co.,Ltd. All rights reserved. VDI Internet

    Thunder1030S Thunder1030S Thunder840 SSLi導入(VDI環境)

13. SSLi導入の背景(VDI環境) 13 (C) Recruit Technologies Co.,Ltd. All rights reserved. Internet

    VDI VDI SW SW FW SSL

14. SSLi導入(VDI環境) 14 (C) Recruit Technologies Co.,Ltd. All rights reserved. Internet

    VDI VDI SW SW FW SSL Thunder SSLi SSL

15. 検証プロセス 15 (C) Recruit Technologies Co.,Ltd. All rights reserved. プレ検証

     vThunderを借用し、検証環境での評価を実施  A10社の強力なサポートにより、円滑に評価が完了 < > 27 Proxy 6 23 SSL 2 64 ※ 130 仮想版では以下、一部機能をサポートしていなかっ たが、大きな問題も無く検証を完了  復号化トラフィックのミラー  サーバ証明書の検証 < >

16. Thunderを検証してみて 16 (C) Recruit Technologies Co.,Ltd. All rights reserved. 優れている点

     コストパフォーマンスが高い  aFleXによる柔軟なアクセス制御が可能 改善を期待したい点  SSLiを実現するためにはパーティションを別ける必要がある  設定が複雑化する  パーティション間を物理接続する必要有り(物理ポートの消費) Thunder internal external

17. まとめと日々感じている事 17 (C) Recruit Technologies Co.,Ltd. All rights reserved. 

    常時SSL化の流れにより、外部への通信は暗号化トラフィックが大 半となってきている  アクセス制御が困難  暗号化トラフィックに紛れたセキュリティリスク  Thunder SSLiは、SSL通信においてもアクセス制御の緻密化と可視 化を提供し、セキュリティインフラであるELIXIRにおいて、重要な 位置づけとして期待されている  高いセキュリティレベルを維持しつつ、提供スピードの向上/運用負 荷の軽減が今後の課題であると考えている

18. ご清聴ありがとうございました リクルートテクノロジーズ