1ゼロトラストセキュリティを実現するソリューションCloudflare Zero Trust
View Slide
2自己紹介酒井 剛(Takeshi Sakai)● アライアンス統括部 テックG● セキュリティ系SaaS製品Sumo Logic、Cloudflare Zerotrust● 2022年4月入社● 前職では、EDR/CloudSWG導入、CSIRT● Nagios/Cacti、インフラエンジニア● 趣味:ケーキ作り、キャンプ
今日のお話し 31. ゼロトラストセキュリティ2. Cloudflare Zero Trust とは3. Cloudflare Zero Trust 機能紹介
ゼロトラストセキュリティ
ゼロトラストセキュリティ 5Verify and Never Trust決して信頼せず必ず確認せよ
ゼロトラストセキュリティ 6社外リソース 社内外リソース社内リソース
ゼロトラストセキュリティ 7社外リソース 社内外リソース社内リソースゼロトラストセキュリティゼロトラストを実現するセキュリティ概念=
Cloudflare Zero Trust とは
Cloudflare Zero Trust とは 9Verify and Never Trust決して信頼せず必ず確認せよhttps://www.cloudflare.com/ja-jp/products/zero-trust/
Cloudflare Zero Trust とは 10● ZTNA (Zero Trust Network Access)
Cloudflare Zero Trust とは 11● ZTNA (Zero Trust Network Access)● SWG (Secure Web Gateway)
Cloudflare Zero Trust とは 12● ZTNA (Zero Trust Network Access)● SWG (Secure Web Gateway)● CASB (Cloud Access Security Broker)
Cloudflare Zero Trust とは 13● ZTNA (Zero Trust Network Access)● SWG (Secure Web Gateway)● CASB (Cloud Access Security Broker)● RBI (Remote Browser Isolation)
Cloudflare Zero Trust とは 14● ZTNA (Zero Trust Network Access)● SWG (Secure Web Gateway)● CASB (Cloud Access Security Broker)● RBI (Remote Browser Isolation)SASE の構成要素を提供
SASE とは 15ガートナー社が考案したゼロトラストを実現するためにどんな構成要素が必要かイメージ画像
SASE とは 16ガートナー社が考案したゼロトラストを実現するためにどんな構成要素が必要かイメージ画像ゼロトラストを実現するソリューションの概念
17SASE と Cloudflare Zero Trust の関係性https://dev.classmethod.jp/articles/cloudflareone_sase-overall/SASEとCloudflare Oneのサービスについてまとめてみた ~全体像~
用語のまとめ 18ゼロトラストセキュリティゼロトラストを実現するセキュリティの概念SASE(サッシー)ゼロトラストを実現するソリューションの概念ZTNA、SWG、CASB、RBI SASE が必要とする構成要素===Cloudflare Zero Trustゼロトラストを実現するソリューション=
ZTNA(Zero Trust Network Access) 19社内リソースへ安全にアクセス
ZTNA(Zero Trust Network Access) 20大丈夫!VPNすでに導入してます。
ZTNA(Zero Trust Network Access) 21VPNが突破された甚大なセキュリティ事故よくありますよね
ZTNA(Zero Trust Network Access) 22● VPNからの脱却○ VPN機器の脆弱性○ VPN認証後は全てのリソースへのアクセスが許可されてしまう○ VPN機器の負荷による遅延○ 経路を迂回することによる物理的遅延○ 機器管理の複雑化(分散化)
ZTNA(Zero Trust Network Access) 23● 社内リソースへ安全にアクセス○ ゼロトラストセキュリティの厳格なアクセス管理(最小権限の原則)○ 世界最速のDNS○ 世界最高クラスのCDN
SWG(Secure Web Gateway) 24● インターネット通信の保護○ URLフィルタリング、アプリケーション制御○ 通信の復号化とマルウェア検出○ 機密情報の検出と保護(DLP)
CASB(Cloud Access Security Broker) 25● シャドーITの可視化○ SaaSサービスの利用状況を可視化● サービス利用に関するコンプライアンス○ 利用できるサービスやアクションを制限● SaaSサービスの利用の脅威検出
RBI(Remote Browser Isolation) 26インターネットから侵入してくるゼロデイ攻撃を防ぐ
RBI(Remote Browser Isolation) 27大丈夫!サンドボックス機能使ってます。
RBI(Remote Browser Isolation) 28サンドボックス環境ってことマルウェアに見破られてますよ。
RBI(Remote Browser Isolation) 29大丈夫!うちVDI環境ですので
RBI(Remote Browser Isolation) 30お使いのVDIのパフォーマンスほんとに満足してますか?
RBI(Remote Browser Isolation) 31● VDIの問題点○ サイジングの確保により膨れるコスト○ 画面操作に関するユーザー体験が比較的低い○ トラブルが多く運用が大変
RBI(Remote Browser Isolation) 32● ブラウザの分離=脅威の分離○ コピー/ペースト/印刷などの操作を制御
Cloudflare Zero Trust 機能紹介
IdPの統合 34ID管理の集約SAML/OIDCによるSSOデバイスポスチャによるアクセス制御
IdPの統合 35ID管理の集約SAML/OIDCによるSSO追加のデバイスポスチャ認証サービストークンによるアプリケーションの認証STApplication
Webアプリケーションへの通信の保護 36Webアプリケーション(SaaS型、ホスト型)
Webアプリケーションへの通信の保護 37Webアプリケーション(SaaS型、ホスト型)
Webアプリケーションへの通信の保護(ホスト型) 38社内のリソースを公開してプライベートにアクセスHTTPS、RDP、SSH、SMB、その他のTCP/UDPHTTP/3、QUICの利用が可能
インターネット通信の保護 39DNSフィルタリング(世界最速 DNS 1.1.1.1)HTTPフィルタリング
会社が認める SaaS サービスの利用制限 40Slackは利用許可のSaaSとなっているなSlackの利用設定をする必要があるので、対象となるドメインを調べないと…IT管理者
会社が認める SaaS サービスの利用制限 41SaaSサービスのドメインが無限に増える問題
会社が認める SaaS サービスの利用制限 42Slackの通信を制御しようと思うと...登録が必要なドメイン 100個以上
会社が認める SaaS サービスの利用制限 43数クリックでアプリケーションを制御
まとめ 44● ゼロトラスト=”Verify and Never Trust”● レガシーセキュリティ(VPN、サンドボックス、VDI)からの脱却● ゼロトラストソリューション → Cloudflare Zero Trust
RBI(Remote Browser Isolation) 45●
46