2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar

ShowNet 2021 ゼロトラストモデルによる次世代セキュリティアーキテクチャ Interop Tokyo 2021 ShowNet NOCチームメンバセキュリティ担当
神宮真⼈（情報通信研究機構）橋本賢⼀郎（ヴイエムウェア）明⽯邦夫（東京⼤学）清⽔⼀貴（ジュニパーネットワークス）

Copyright © Interop Tokyo 2021 ShowNet NOC Team アジェンダ •ShowNetとは
•ShowNet 2021におけるセキュリティの課題 •ShowNetにおけるゼロトラストモデルの適⽤ •サービス提供事業者としてのセキュリティの取り組み

ShowNet とは

Copyright © Interop Tokyo 2021 ShowNet NOC Team Interop Tokyo
• 世界最⼤のネットワーク機器と技術の展⽰会 • 1986年⽶国モントレで開催されたカンファレンスイベント「TCP/IP Vendors Workshop」が始まり • ⽇本では毎年6⽉に幕張メッセで開催 • 来場者約14万⼈

Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetとは︖ •
産業界、学術界、研究機関から集まるトップエンジニア実施する世界最⼤級のライブデモンストレーションプロジェクト • 2年後、３年後に業界に浸透する技術を先駆けて挑戦 • 世界、国内で初披露（実稼働）される新製品も実装 • 最新技術を実装しながら安定したサービスを出展ブース・来場者に提供 • Interop Tokyoが唯⼀、開催当初のスピリットを継承 • 産学官から集まったNOCチームメンバーと、機器やサービスを提供するコントリビュータ、⼀般から公募するボランティア「STM」の三位⼀体で構築 Interop と ShowNetについて

Copyright © Interop Tokyo 2021 ShowNet NOC Team ネットワークの規模 •
コントリビューション機器/製品/サービス台数︓約1500台 • 動員数（のべ） ︓368名 • NOCチームメンバー ︓30名 • STM/CTM ︓33名 • コントリビュータ ︓305名 • UTP総延⻑︓約21.0km 光ファイバー総延⻑︓約5.5km • NOCラック及びPod総電気容量 100V:約140.0kW 200V:約66.0kW • 内訳(NOC 100V:約115.0kW 200V:約62.0kW、Pod 100V:約25.0kW 200V約4.0kW) • NOCラック及びPod総コンセント数（100V,200V含む):約240個 • 内訳(NOC 約190個、Pod 約50個)

ShowNet 2021におけるセキュリティの課題

Copyright © Interop Tokyo 2021 ShowNet NOC Team 昨今の情勢によるIT環境の変化 •
働き⽅改⾰ • クラウドシフト • モバイルファースト • Covid-19によるテレワーク環境整備

Copyright © Interop Tokyo 2021 ShowNet NOC Team これまでのShowNetの構築と運⽤ Interoperability（相互接続）
• 幕張メッセで相互接続試験 • Hot Stage合わせて2週間の現地滞在 • 現地集合、現地作業 • インターネットからの接続不許可 • 認証・認可は装置ごとに設定 • 会期中は各ブースにサービス提供

Copyright © Interop Tokyo 2021 ShowNet NOC Team パンデミックが業界の流れを加速幕張メッセ
クラウドA クラウドB ⾃宅⾃宅

Copyright © Interop Tokyo 2021 ShowNet NOC Team 全てがひとつの場所に固定しない時代 Operation
at Messe Operation from Home Operation from anywhere エリア・場所・境界セキュリティエンドポイント・ZTA

Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソースの再配置と分散 Cafe
オンプレミスデータセンタ

Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetの環境変化へのチャレンジ Work
from anywhere Work from Home 法的制限や会社のルールによって参加が困難利⽤者の延べ⼈数が 500⼈近い規模継続した安定運⽤冗⻑性の確保認証認可の⼀元化統⼀したセキュリティポリシの適⽤幕張メッセ

Copyright © Interop Tokyo 2021 ShowNet NOC Team ひとつのアーキテクチャで守るのではなく、個々のトランザクションを検証
ゼロトラストは「戦術」であり、「戦術」はコピーできないゼロトラストの原則すべてのデータソースとコンピューティングサービスをリソースとみなすネットワークロケーションにかかわらず、すべての通信を保護するすべてのリソースの認証と承認は、アクセスが許可される前に動的・厳密に実施するリソースへのアクセスをセッション単位に許可するリソースへのアクセスを、動的ポリシーによって決定する所有または関連するすべての資産の⽣合成とセキュリティ体制を監視し評価する資産、ネットワークインフラ、通信の現在の状況を可能な限り多くの情報を収集し、セキュリティ体制を改善するゼロトラストをShowNetに適⽤

Copyright © Interop Tokyo 2021 ShowNet NOC Team Zero Trust
Architecture at ShowNet ワークロードエンドポイントネットワーク ID クラウド守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security

ShowNet 2021におけるゼロトラストモデルの適⽤

Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソース保護のための継続的な検証と評価 •
ShowNetにおけるリソースとは • トラフィックに含まれるデータ • 使われるアプリケーション • デバイス • NOC / STM / コントリビュータの端末 • 出展社ブースに接続された端末 • 来場者向けWi-Fiに接続された端末 • 全てのデータソースとコンピューティングサービスをリソースとみなす

Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御守るべきリソース保護のための継続的な検証と評価
• ShowNetをリモートから安全に構築・管理・運⽤するためのアクセス⽅法の⼀つとして、AppGate SDP(Software- Defined Perimeter)を使⽤ • SDPでは、リモート端末が保護されたリソースにアクセスする際に、コントローラ側で定義されたポリシーによって動的に接続の可否を判定し、セッション情報を記録する • これにより、アクセスできるリソースをユーザや端末の状況から動的に制御でき、適切なセキュリティポリシーを継続して適⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述

Copyright © Interop Tokyo 2021 ShowNet NOC Team オペレータ端末へのエンドポイントセキュリティ守るべきリソース保護のための継続的な検証と評価
• オペレータ端末においてインシデントが発⽣した際に侵害の痕跡を追跡するためにエンドポイント製品を導⼊ • EDRによるリモートライブフォレンジック • BAS製品による模擬攻撃の検出テストを実施 • 導⼊したエンドポイント製品 • Cortex XDR • FortiEDR • Xensor Agent Operator EDR 管理コンソール ②全端末に対してスキャン指⽰ Agent ⼆次感染端末 ①⼆次感染マルウェアの検知アラート正常端末⼀次感染端末 Agent ③スキャン実⾏ ④⼀次感染端末を検出

リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤

Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスの提供リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤
• リモートからShowNetへ安全にアクセスするための⽅法の⼀つとして、 Prisma AccessによるSASE(Secure Access Service Edge)を⽤いたリモートアクセスを提供 • リモート端末からのインターネット及び ShowNetへの通信をSASEに集約し、セキュリティ機能を適⽤することにより、端末を脅威から保護すると同時に、通信トラフィックを継続的に監視 • セキュリティ上の問題が発⽣した場合、 SASE側で通信を制御することにより、リソースを不正なアクセスから保護することが可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセスインターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall

Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドのセキュリティポリシ監視
リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator

⼀元的な認証認可によるリソースの保護

Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証⼀元的な認証認可によるリソースの保護
• ShowNetのリソースに対してリモートからのアクセスを提供するに際して、適切な認証と、リソースへのアクセス認可を実施する必要がある • ShowNetの運⽤データベースであるTTDBに SAML認証の仕組みを実装することで、実際に運⽤・管理を実施するNOC及びコントリビュータのユーザ管理と認証を⼀元的に実施 • NOC側で個別にアクセス許可を⾏うことにより、リソースへのアクセスを必要なユーザに対してのみ提供することが可能となった ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可ユーザへのアクセスを許可 NOC SASE SDP VPN 作った⼈

Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250
SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所有者認証（デバイス） ⑦ 認証成功 ⑧ 認証成功 ⑨ トークン ⑩ リソースへアクセス ShowNetへのリモートアクセス（SDP + MFA）

Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス（SASE +
MFA） TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所有者認証（デバイス） ⑦ 認証成功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP

サービス提供事業者としてのセキュリティの取り組み

Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet
2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker

Copyright © Interop Tokyo 2021 ShowNet NOC Team セキュリティサービスの提供 •
NGFW / Sandboxによりリアルタイムで脅威を遮断するセキュリティサービスを 100Gインラインで接続 • 2台のアプライアンスでホール毎に出展社ブーストラフィックをSymmetricに監視 • Hall 3, Hall 4, 来場者向けWi-Fi • PA-5280 and WildFire • Hall 5, Hall 6, ShowNet⽣活⽤NW • FortiGate 4401F and FortiSandbox

Copyright © Interop Tokyo 2021 ShowNet NOC Team • FortiGate4401f
/ FortiAI / FortiNAC • PA-5260 / IoTセキュリティサービス • DAMBALLA • Check Point Security Appliances / Check Point SandBlast • TiFRONT • Stealthwatch • Threat Wall • NSX NDR ネットワークトラフィックの解析と対応集約重複排除分配 EXA48600 Vision X Flex TAP トラフィック複製脅威検出 Synesis ネットワークフォレンジック Operator インシデント対応相関分析検知アラート NIRVANA改弐

Copyright © Interop Tokyo 2021 ShowNet NOC Team スレットインテリジェンスを活⽤したプロアクティブな脅威検出
• TIPとSIEMの連携 • アラート / ログに対するサイバー攻撃の痕跡調査と対処 • Interop Tokyo / ShowNetのクレデンシャルリークタイポスクワッディングの監視 EXIST AutoFocus Recorded Future CyberTotal VMware Threat Intelligence CURE NIRVANA改弐 Endpoint Security Security Appliances xFlow TI / SIEM連携 Feed / API Alert / Log セキュリティリサーチャによる脅威レポートサイバー攻撃キャンペーンの IoC / TTPs ShowNet外部の脅威監視

Copyright © Interop Tokyo 2021 ShowNet NOC Team インシデント未然防⽌のための脆弱性検査 •
ShowNet内外から脆弱性スキャナによる検査を実施 • ⾒つかった脆弱性は本番運⽤前に対処を実施 Nessus Scanner Nessus Scanner Nessus Scanner Nessus Scanner x4 Tenable.io ob-mgmt mgmt global-life Skybox private-life ShowNet global Internet Cloud global Cloud mgmt VPN

Copyright © Interop Tokyo 2021 ShowNet NOC Team shownet.conf_開催決定 •
shownet.conf_とは • 2017年から開催している、その年に構築したShowNetについてNOCチームメンバーが解説するカンファレンス • 2021年は下記の⽇程でオンライン開催 • 4⽉22⽇ shownet.conf_mini • https://www.interop.jp/shownet/point/ • 6⽉23⽇ shownet.conf_ • https://f2ff.jp/event/int-2021-conf

2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_Show...

2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar

More Decks by ShowNet

Other Decks in Technology

Featured

Transcript