Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AKIBA-dot-SaaS-Cloudflare-ZeroTrust

Tkay
October 06, 2022

 AKIBA-dot-SaaS-Cloudflare-ZeroTrust

Tkay

October 06, 2022
Tweet

More Decks by Tkay

Other Decks in Technology

Transcript

  1. 1
    ゼロトラストセキュリティを実現するソリューション
    Cloudflare Zero Trust

    View Slide

  2. 2
    自己紹介
    酒井 剛(Takeshi Sakai)
    ● アライアンス統括部 テックG
    ● セキュリティ系SaaS製品
    Sumo Logic、Cloudflare Zerotrust
    ● 2022年4月入社
    ● 前職では、EDR/CloudSWG導入、CSIRT
    ● Nagios/Cacti、インフラエンジニア
    ● 趣味:ケーキ作り、キャンプ

    View Slide

  3. 今日のお話し 3
    1. ゼロトラストセキュリティ
    2. Cloudflare Zero Trust とは
    3. Cloudflare Zero Trust 機能紹介

    View Slide

  4. ゼロトラストセキュリティ

    View Slide

  5. ゼロトラストセキュリティ 5
    Verify and Never Trust
    決して信頼せず必ず確認せよ

    View Slide

  6. ゼロトラストセキュリティ 6
    社外リソース 社内外リソース
    社内リソース

    View Slide

  7. ゼロトラストセキュリティ 7
    社外リソース 社内外リソース
    社内リソース
    ゼロトラストセキュリティ
    ゼロトラストを実現するセキュリティ概念

    View Slide

  8. Cloudflare Zero Trust とは

    View Slide

  9. Cloudflare Zero Trust とは 9
    Verify and Never Trust
    決して信頼せず必ず確認せよ
    https://www.cloudflare.com/ja-jp/products/zero-trust/

    View Slide

  10. Cloudflare Zero Trust とは 10
    ● ZTNA (Zero Trust Network Access)

    View Slide

  11. Cloudflare Zero Trust とは 11
    ● ZTNA (Zero Trust Network Access)
    ● SWG (Secure Web Gateway)

    View Slide

  12. Cloudflare Zero Trust とは 12
    ● ZTNA (Zero Trust Network Access)
    ● SWG (Secure Web Gateway)
    ● CASB (Cloud Access Security Broker)

    View Slide

  13. Cloudflare Zero Trust とは 13
    ● ZTNA (Zero Trust Network Access)
    ● SWG (Secure Web Gateway)
    ● CASB (Cloud Access Security Broker)
    ● RBI (Remote Browser Isolation)

    View Slide

  14. Cloudflare Zero Trust とは 14
    ● ZTNA (Zero Trust Network Access)
    ● SWG (Secure Web Gateway)
    ● CASB (Cloud Access Security Broker)
    ● RBI (Remote Browser Isolation)
    SASE の構成要素を提供

    View Slide

  15. SASE とは 15
    ガートナー社が考案した
    ゼロトラストを実現するために
    どんな構成要素が必要か
    イメージ画像

    View Slide

  16. SASE とは 16
    ガートナー社が考案した
    ゼロトラストを実現するために
    どんな構成要素が必要か
    イメージ画像
    ゼロトラストを実現する
    ソリューションの概念

    View Slide

  17. 17
    SASE と Cloudflare Zero Trust の関係性
    https://dev.classmethod.jp/articles/cloudflareone_sase-overall/
    SASEとCloudflare Oneのサービスにつ
    いてまとめてみた ~全体像~

    View Slide

  18. 用語のまとめ 18
    ゼロトラストセキュリティ
    ゼロトラストを実現する
    セキュリティの概念
    SASE(サッシー)
    ゼロトラストを実現する
    ソリューションの概念
    ZTNA、SWG、CASB、RBI SASE が必要とする構成要素



    Cloudflare Zero Trust
    ゼロトラストを実現する
    ソリューション

    View Slide

  19. ZTNA(Zero Trust Network Access) 19
    社内リソースへ安全にアクセス

    View Slide

  20. ZTNA(Zero Trust Network Access) 20
    大丈夫!
    VPNすでに導入してます。

    View Slide

  21. ZTNA(Zero Trust Network Access) 21
    VPNが突破された
    甚大なセキュリティ事故よくありますよね

    View Slide

  22. ZTNA(Zero Trust Network Access) 22
    ● VPNからの脱却
    ○ VPN機器の脆弱性
    ○ VPN認証後は全てのリソースへのアクセスが許可されてしまう
    ○ VPN機器の負荷による遅延
    ○ 経路を迂回することによる物理的遅延
    ○ 機器管理の複雑化(分散化)

    View Slide

  23. ZTNA(Zero Trust Network Access) 23
    ● 社内リソースへ安全にアクセス
    ○ ゼロトラストセキュリティの厳格なアクセス管理
    (最小権限の原則)
    ○ 世界最速のDNS
    ○ 世界最高クラスのCDN

    View Slide

  24. SWG(Secure Web Gateway) 24
    ● インターネット通信の保護
    ○ URLフィルタリング、アプリケーション制御
    ○ 通信の復号化とマルウェア検出
    ○ 機密情報の検出と保護(DLP)

    View Slide

  25. CASB(Cloud Access Security Broker) 25
    ● シャドーITの可視化
    ○ SaaSサービスの利用状況を可視化
    ● サービス利用に関するコンプライアンス
    ○ 利用できるサービスやアクションを制限
    ● SaaSサービスの利用の脅威検出

    View Slide

  26. RBI(Remote Browser Isolation) 26
    インターネットから侵入してくる
    ゼロデイ攻撃を防ぐ

    View Slide

  27. RBI(Remote Browser Isolation) 27
    大丈夫!
    サンドボックス機能使ってます。

    View Slide

  28. RBI(Remote Browser Isolation) 28
    サンドボックス環境ってこと
    マルウェアに見破られてますよ。

    View Slide

  29. RBI(Remote Browser Isolation) 29
    大丈夫!
    うちVDI環境ですので

    View Slide

  30. RBI(Remote Browser Isolation) 30
    お使いのVDIのパフォーマンス
    ほんとに満足してますか?

    View Slide

  31. RBI(Remote Browser Isolation) 31
    ● VDIの問題点
    ○ サイジングの確保により膨れるコスト
    ○ 画面操作に関するユーザー体験が比較的低い
    ○ トラブルが多く運用が大変

    View Slide

  32. RBI(Remote Browser Isolation) 32
    ● ブラウザの分離=脅威の分離
    ○ コピー/ペースト/印刷などの操作を制御

    View Slide

  33. Cloudflare Zero Trust 機能紹介

    View Slide

  34. IdPの統合 34
    ID管理の集約
    SAML/OIDCによる
    SSO
    デバイスポスチャに
    よるアクセス制御

    View Slide

  35. IdPの統合 35
    ID管理の集約
    SAML/OIDCによる
    SSO
    追加のデバイスポス
    チャ認証
    サービストークンによる
    アプリケーションの認証
    ST
    Application

    View Slide

  36. Webアプリケーションへの通信の保護 36
    Webアプリケーション(SaaS型、ホスト型)

    View Slide

  37. Webアプリケーションへの通信の保護 37
    Webアプリケーション(SaaS型、ホスト型)

    View Slide

  38. Webアプリケーションへの通信の保護(ホスト型) 38
    社内のリソースを公開して
    プライベートにアクセス
    HTTPS、RDP、SSH、
    SMB、その他のTCP/UDP
    HTTP/3、QUICの利用
    が可能

    View Slide

  39. インターネット通信の保護 39
    DNSフィルタリング(世界最速 DNS 1.1.1.1)
    HTTPフィルタリング

    View Slide

  40. 会社が認める SaaS サービスの利用制限 40
    Slackは利用許可のSaaSとなっているな
    Slackの利用設定をする必要があるので、
    対象となるドメインを調べないと…
    IT管理者

    View Slide

  41. 会社が認める SaaS サービスの利用制限 41
    SaaSサービスのドメインが
    無限に増える問題

    View Slide

  42. 会社が認める SaaS サービスの利用制限 42
    Slackの通信を制御しようと思うと...
    登録が必要なドメイン 100個以上

    View Slide

  43. 会社が認める SaaS サービスの利用制限 43
    数クリックでアプリケーションを制御

    View Slide

  44. まとめ 44
    ● ゼロトラスト=”Verify and Never Trust”
    ● レガシーセキュリティ(VPN、サンドボックス、VDI)
    からの脱却
    ● ゼロトラストソリューション
         →     Cloudflare Zero Trust

    View Slide

  45. RBI(Remote Browser Isolation) 45

    View Slide

  46. 46

    View Slide