Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2016-ShowNet-セキュリティ

ShowNet
PRO
July 01, 2016
Technology
0
15

 2016-ShowNet-セキュリティ

ShowNet
PRO

July 01, 2016
Tweet

More Decks by ShowNet

See All by ShowNet
ShowNetの歩き方 2023
shownet
PRO
0
5
ShowNet2023 Topology
shownet
PRO
0
320
ShowNet2023 External
shownet
PRO
0
19
【shownet.conf_2023】ShowNetのネットワークを解説~最新鋭の技術で作るマルチテナントバックボーン~
shownet
PRO
0
1.4k
【shownet.conf_2023】ローカル5Gサービス提供への挑戦とその知見
shownet
PRO
0
1.4k
【shownet.conf_2023】パフォーマンス計測と詳細分析を組合わせた監視基盤の実現
shownet
PRO
0
1.4k
【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワークを守る新たな挑戦〜
shownet
PRO
0
1.4k
【shownet.conf_2023】ShowNet を効率良く試験するために
shownet
PRO
0
1.6k
【shownet.conf_2023】ShowNet2023 伝送報告
shownet
PRO
0
1.7k

Other Decks in Technology

See All in Technology
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
270
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
390
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
2
280
How to do well in consulting–Balkan Ruby 2024
irinanazarova
0
130
Cracking the KubeCon CfP
inductor
2
270
Kernel MemoryでAzure OpenAI Serviceとお手軽データソース連携
mitsuzono
1
280
On Your Data を超えていく!
hirotomotaguchi
2
750
One engineer company with Ruby on Rails
rstankov
2
420
今年のRubyKaigiはProfiler Year🤘
osyoyu
0
340
エンジニア候補者向け資料2024.04.24.pdf
macloud
0
3.3k
Gitlab本から学んだこと - そーだいなるプレイバック / gitlab-book
soudai
7
1.3k
Cypress or Playwright?
rainerhahnekamp
0
170

Featured

See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Fantastic passwords and where to find them - at NoRuKo
philnash
38
2.5k
Product Roadmaps are Hard
iamctodd
45
9.7k
Visualization
eitanlees
137
14k
Become a Pro
speakerdeck
PRO
12
4.6k
Designing for humans not robots
tammielis
248
25k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
21
6.4k
Facilitating Awesome Meetings
lara
43
5.6k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
11
1k
GraphQLの誤解/rethinking-graphql
sonatard
55
9.3k

Transcript

  1. 1 Copyright © Interop Tokyo 2016 ShowNet NOC Team セキュリティ

  2. 2 Copyright © Interop Tokyo 2016 ShowNet NOC Team NFV

    ShowNet 2016 セキュリティ BGP Flowspec + DDoS Mitigation インラインFW(無線) インラインFW(会議棟) インラインFW(ライフ) TAP/ミラートラフィック解析 マネジメント監視

  3. 3 Copyright © Interop Tokyo 2016 ShowNet NOC Team ShowNet

    2016 セキュリティの見どころ セキュリティ • セキュリティ検査によるネットワーク堅牢性の確保 ➢攻撃者の存在を前提としたネットワーク構築・運用 • 100Gキャプチャによるネットワークフォレンジック ➢100Gバックボーン時代のネットワークフォレンジック基盤 • ベンダを越えたセキュリティ機器連携 ➢多様化するサイバー攻撃への多面的な分析と防御

  4. 4 Copyright © Interop Tokyo 2016 ShowNet NOC Team ネットワーク検査による堅牢性向上

    セキュリティ • 攻撃者より先にネットワー クを検査し、ネットワーク の堅牢性を高める 1) 外部・内部双方からの脆弱性 検査・ペネトレーション試験 2) 感染時のトラフィックを模擬 したマルウェア感染対策検査 3) DDoS攻撃耐性検査 Outbound ShowNet 45.0/15 Inbound

  5. 5 Copyright © Interop Tokyo 2016 ShowNet NOC Team C2サーバ模擬通信

    ネットワーク検査による堅牢性向上 セキュリティ • ShowNet内の全デバイス(800台 以上)を検査し脆弱性を一元的に 監視 • ホワイトハッカーによるペネト レーション試験により、実影響の ある脆弱性のみを抽出 • セキュリティテスタで遠隔操作 サーバ(C2サーバ)の通信を模擬 • クラウドからDDoS攻撃耐性検査 を実施 Outbound 脆弱性 確認 脆弱性 検査 DDoS攻撃 ShowNet 45.0/15 Inbound SecurityCenter SecurityLab AvlancheNext PerfectStormOne TeraVM NimbusDDoS

  6. 6 Copyright © Interop Tokyo 2016 ShowNet NOC Team エンドポイントセキュリティ

    セキュリティ • アンチウイルスの限界 • 約60%以上が未検知 • 新種、亜種、エクスプロイトの 組み合わせで攻撃 • USB感染や外での感染し持込み • 動作・振る舞いで検出 • エクスプロイト発生時 • ファイル実行時、インテリジェ ンスにハッシュ値を確認 • 攻撃の観測やハッシュ値で防御 ShowNet The Internet 攻撃者 Secure life firewall Secure life アンチウイルスのみ アンチウイルス +エンドポイントセキュリティ PaloAlto Traps トレンドマイクロ TMES アズジェント Illusive

  7. 7 Copyright © Interop Tokyo 2016 ShowNet NOC Team レイヤ1アグリゲーションとモニタリング

    セキュリティ L1 Aggregation nto6221 tap switch Z9100-ON big tap ShowNet 45.0/15 1 tap flex tap router L1 Aggregation nto5293 tap switch Arista 7280SE-68 • TAPやルータ・スイッチ のミラーポート機能でト ラフィックを抽出 • 複数ポートへのコピーや 重複排除にL1アグリゲー ションを利用 • スイッチの機能としての 実装や、SDNでコント ロールする実装も導入

  8. 8 Copyright © Interop Tokyo 2016 ShowNet NOC Team レイヤ1アグリゲーションとモニタリング

    セキュリティ L1 Aggregation nto6221 tap switch Z9100-ON big tap ShowNet 45.0/15 1 tap flex tap router L1 Aggregation nto5293 Stream Monitor Synesis Omnipliance Vigil tap switch Arista 7280SE-68 fg3815 fs3000d SM9800 PA5060 Damballa WF500 nirvana-sensor02 nirivana-sensor03 Firepower4120 SRX1500 Lastline Sensor DDI 4100 • 100Gbps対応フォレンジック の登場 • セキュリティインシデント時間 前後5分間のパケットを抽出 • ファイアウォールもサンドボッ クスや各社インテリジェンスと 連携 • サンドボックスはフルシステム エミュレーションとバーチャリ ゼーション、2つの異なる技術 でFP回避にチャレンジ フォレンジック ファイアウォール センサー サンドボックス フォレンジック ファイアウォール センサー サンドボックス

  9. 9 Copyright © Interop Tokyo 2016 ShowNet NOC Team ベンダを越えたセキュリティ機器連携

    セキュリティ • 異なるベンダの検知装置でアグリゲーション トラフィックを解析 • 複数の装置により誤検知を抑える • 検知結果を集約し統合監視(SIEM) • 検知装置と防御装置との連携 • 異なるベンダ間での連携に挑戦 • 攻撃の検知から防御までの時間を短縮

  10. 10 Copyright © Interop Tokyo 2016 ShowNet NOC Team ベンダを越えたセキュリティ機器連携

    セキュリティ A社 B社 C社 オーケストレータ エクスターナル ルータ群 インラインFW (有線/無線) BGP Flowspec REST API/NETCONF/CLI PA7050 FG3200D SRX1500 ThreatARMOR nirvana改 vMX ASR9904 MX2010 ①タップ/ミラートラフィック を集約し検知装置に分配 ②検知結果をsyslogで通知し集約 ③各種装置にフィルタを設定 TAP