2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar

Transcript

1. ShowNet 2021 ゼロトラストモデルによる 次世代セキュリティアーキテクチャ Interop Tokyo 2021 ShowNet NOCチームメンバ セキュリティ担当

   神宮 真⼈ （情報通信研究機構） 橋本 賢⼀郎（ヴイエムウェア） 明⽯ 邦夫 （東京⼤学） 清⽔ ⼀貴 （ジュニパーネットワークス）

2. Copyright © Interop Tokyo 2021 ShowNet NOC Team アジェンダ •ShowNetとは

   •ShowNet 2021におけるセキュリティの課題 •ShowNetにおけるゼロトラストモデルの適⽤ •サービス提供事業者としてのセキュリティの 取り組み

3. ShowNet とは

4. Copyright © Interop Tokyo 2021 ShowNet NOC Team Interop Tokyo

   • 世界最⼤のネットワーク機器と技術の展⽰会 • 1986年⽶国モントレで開催されたカンファレンスイベント 「TCP/IP Vendors Workshop」が始まり • ⽇本では毎年6⽉に幕張メッセで開催 • 来場者約14万⼈

5. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetとは︖ •

   産業界、学術界、研究機関から集まるトップエンジニア実施する世界最⼤級 のライブデモンストレーションプロジェクト • 2年後、３年後に業界に浸透する技術を先駆けて挑戦 • 世界、国内で初披露（実稼働）される新製品も実装 • 最新技術を実装しながら安定したサービスを出展ブース・来場者に提供 • Interop Tokyoが唯⼀、開催当初のスピリットを継承 • 産学官から集まったNOCチームメンバーと、機器やサービスを提供するコン トリビュータ、⼀般から公募するボランティア「STM」の三位⼀体で構築 Interop と ShowNetについて

6. Copyright © Interop Tokyo 2021 ShowNet NOC Team

7. Copyright © Interop Tokyo 2021 ShowNet NOC Team ネットワークの規模 •

   コントリビューション機器/製品/サービス台数︓約1500台 • 動員数（のべ） ︓368名 • NOCチームメンバー ︓30名 • STM/CTM ︓33名 • コントリビュータ ︓305名 • UTP総延⻑︓約21.0km 光ファイバー総延⻑︓約5.5km • NOCラック及びPod総電気容量 100V:約140.0kW 200V:約66.0kW • 内訳(NOC 100V:約115.0kW 200V:約62.0kW、Pod 100V:約25.0kW 200V約4.0kW) • NOCラック及びPod総コンセント数（100V,200V含む):約240個 • 内訳(NOC 約190個、Pod 約50個)

8. ShowNet 2021における セキュリティの課題

9. Copyright © Interop Tokyo 2021 ShowNet NOC Team 昨今の情勢によるIT環境の変化 •

   働き⽅改⾰ • クラウドシフト • モバイルファースト • Covid-19による テレワーク環境整備

10. Copyright © Interop Tokyo 2021 ShowNet NOC Team これまでのShowNetの構築と運⽤ Interoperability（相互接続）

    • 幕張メッセで相互接続試験 • Hot Stage合わせて2週間の現地滞在 • 現地集合、現地作業 • インターネットからの接続不許可 • 認証・認可は装置ごとに設定 • 会期中は各ブースにサービス提供

11. Copyright © Interop Tokyo 2021 ShowNet NOC Team パンデミックが業界の流れを加速 幕張メッセ

    クラウドA クラウドB ⾃宅 ⾃宅

12. Copyright © Interop Tokyo 2021 ShowNet NOC Team 全てがひとつの場所に固定しない時代 Operation

    at Messe Operation from Home Operation from anywhere エリア・場所・境界セキュリティ エンドポイント・ZTA

13. Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソースの再配置と分散 Cafe

    オンプレミスデータセンタ

14. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetの環境変化へのチャレンジ Work

    from anywhere Work from Home 法的制限や会社のルールに よって参加が困難 利⽤者の延べ⼈数が 500⼈近い規模 継続した安定運⽤ 冗⻑性の確保 認証認可の⼀元化 統⼀したセキュリ ティポリシの適⽤ 幕張メッセ

15. Copyright © Interop Tokyo 2021 ShowNet NOC Team ひとつのアーキテクチャで守るのではなく、 個々のトランザクションを検証

    ゼロトラストは「戦術」であり、「戦術」はコピーできない ゼロトラストの原則 すべてのデータソースとコンピューティングサービスをリソースとみなす ネットワークロケーションにかかわらず、すべての通信を保護する すべてのリソースの認証と承認は、アクセスが許可される前に動的・厳密に実施する リソースへのアクセスをセッション単位に許可する リソースへのアクセスを、動的ポリシーによって決定する 所有または関連するすべての資産の⽣合成とセキュリティ体制を監視し評価する 資産、ネットワークインフラ、通信の現在の状況を可能な限り多くの情報を収集し、セキュ リティ体制を改善する ゼロトラストをShowNetに適⽤

16. Copyright © Interop Tokyo 2021 ShowNet NOC Team Zero Trust

    Architecture at ShowNet ワークロード エンドポイント ネットワーク ID クラウド 守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security

17. ShowNet 2021における ゼロトラストモデルの適⽤

18. Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソース保護のための継続的な検証と評価 •

    ShowNetにおけるリソースとは • トラフィック に含まれるデータ • 使われるアプリケーション • デバイス • NOC / STM / コントリビュータの端末 • 出展社ブースに接続された端末 • 来場者向けWi-Fiに接続された端末 • 全てのデータソースとコンピューティングサービスを リソースとみなす

19. Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御 守るべきリソース保護のための継続的な検証と評価

    • ShowNetをリモートから安全に構築・管 理・運⽤するためのアクセス⽅法の⼀つ として、AppGate SDP(Software- Defined Perimeter)を使⽤ • SDPでは、リモート端末が保護されたリ ソースにアクセスする際に、コントロー ラ側で定義されたポリシーによって動的 に接続の可否を判定し、セッション情報 を記録する • これにより、アクセスできるリソースを ユーザや端末の状況から動的に制御でき、 適切なセキュリティポリシーを継続して 適⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの 検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述

20. Copyright © Interop Tokyo 2021 ShowNet NOC Team オペレータ端末へのエンドポイントセキュリティ 守るべきリソース保護のための継続的な検証と評価

    • オペレータ端末においてインシデントが発⽣した際に侵害の痕跡を追跡するた めにエンドポイント製品を導⼊ • EDRによるリモートライブフォレンジック • BAS製品による模擬攻撃の検出テストを実施 • 導⼊したエンドポイント製品 • Cortex XDR • FortiEDR • Xensor Agent Operator EDR 管理コンソール ②全端末に対して スキャン指⽰ Agent ⼆次感染端末 ①⼆次感染マルウェア の検知アラート 正常端末 ⼀次感染端末 Agent ③スキャン実⾏ ④⼀次感染端末を検出

21. リモートワークとマルチクラウド環境に ⼀貫した動的セキュリティポリシの適⽤

22. Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスの提供 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤

    • リモートからShowNetへ安全にアクセ スするための⽅法の⼀つとして、 Prisma AccessによるSASE(Secure Access Service Edge)を⽤いたリモー トアクセスを提供 • リモート端末からのインターネット及び ShowNetへの通信をSASEに集約し、セ キュリティ機能を適⽤することにより、 端末を脅威から保護すると同時に、通信 トラフィックを継続的に監視 • セキュリティ上の問題が発⽣した場合、 SASE側で通信を制御することにより、 リソースを不正なアクセスから保護する ことが可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセス インターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall

23. Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドの セキュリティポリシ監視

    リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator

24. ⼀元的な認証認可による リソースの保護

25. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証 ⼀元的な認証認可によるリソースの保護

    • ShowNetのリソースに対してリモートから のアクセスを提供するに際して、適切な認証 と、リソースへのアクセス認可を実施する必 要がある • ShowNetの運⽤データベースであるTTDBに SAML認証の仕組みを実装することで、実際 に運⽤・管理を実施するNOC及びコントリ ビュータのユーザ管理と認証を⼀元的に実施 • NOC側で個別にアクセス許可を⾏うことに より、リソースへのアクセスを必要なユーザ に対してのみ提供することが可能となった ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可 ユーザへのアクセスを許可 NOC SASE SDP VPN 作った⼈

26. Copyright © Interop Tokyo 2021 ShowNet NOC Team 多要素認証によるなりすまし防⽌ ⼀元的な認証認可によるリソースの保護

    • TTDBによる認証の⼀元化 に加えて、Cisco Duo によ る⼆要素認証を必須とし、 モバイルデバイスを⽤いた 追加認証を実施 • これにより、本⼈からのア クセスであることを確認し、 ユーザの使い回しやなりす ましを防⽌

27. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250

    SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 （ デ バ イ ス ） ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ ト ー ク ン ⑩ リソースへアクセス ShowNetへのリモートアクセス（SDP + MFA）

28. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス（SASE +

    MFA） TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 （ デ バ イ ス ） ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP

29. サービス提供事業者としての セキュリティの取り組み

30. Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet

    2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker

31. Copyright © Interop Tokyo 2021 ShowNet NOC Team セキュリティサービスの提供 •

    NGFW / Sandboxによりリアルタイム で 脅威を遮断するセキュリティサービスを 100Gインラインで接続 • 2台のアプライアンスでホール毎に出展社 ブーストラフィックをSymmetricに監視 • Hall 3, Hall 4, 来場者向けWi-Fi • PA-5280 and WildFire • Hall 5, Hall 6, ShowNet⽣活⽤NW • FortiGate 4401F and FortiSandbox

32. Copyright © Interop Tokyo 2021 ShowNet NOC Team • FortiGate4401f

    / FortiAI / FortiNAC • PA-5260 / IoTセキュリティサービス • DAMBALLA • Check Point Security Appliances / Check Point SandBlast • TiFRONT • Stealthwatch • Threat Wall • NSX NDR ネットワークトラフィックの解析と対応 集約 重複排除 分配 EXA48600 Vision X Flex TAP トラフィック複製 脅威検出 Synesis ネットワークフォレンジック Operator インシデント対応 相関分析 検知アラート NIRVANA改弐

33. Copyright © Interop Tokyo 2021 ShowNet NOC Team スレットインテリジェンスを活⽤した プロアクティブな脅威検出

    • TIPとSIEMの連携 • アラート / ログに対するサイバー攻撃の痕跡調査と対処 • Interop Tokyo / ShowNetのクレデンシャルリーク タイポスクワッディングの監視 EXIST AutoFocus Recorded Future CyberTotal VMware Threat Intelligence CURE NIRVANA改弐 Endpoint Security Security Appliances xFlow TI / SIEM連携 Feed / API Alert / Log セキュリティリサーチャ による脅威レポート サイバー攻撃キャン ペーンの IoC / TTPs ShowNet外部の脅威監視

34. Copyright © Interop Tokyo 2021 ShowNet NOC Team インシデント未然防⽌のための脆弱性検査 •

    ShowNet内外から脆弱性スキャナによる検査を実施 • ⾒つかった脆弱性は本番運⽤前に対処を実施 Nessus Scanner Nessus Scanner Nessus Scanner Nessus Scanner x4 Tenable.io ob-mgmt mgmt global-life Skybox private-life ShowNet global Internet Cloud global Cloud mgmt VPN

35. Copyright © Interop Tokyo 2021 ShowNet NOC Team 管理ネットワークへの脆弱性スキャンと対処 •

    管理ポートが脆弱な設定と なっている機器を多数発⾒ • 設定項⽬がなく、根本対処が できない機器も • ベンダにフィードバックし、 修正を依頼 • 上位のFWでフィルタできる 機器は個別に暫定対策を実施

36. Copyright © Interop Tokyo 2021 ShowNet NOC Team shownet.conf_開催決定 •

    shownet.conf_とは • 2017年から開催している、その年に構築したShowNetについ てNOCチームメンバーが解説するカンファレンス • 2021年は下記の⽇程でオンライン開催 • 4⽉22⽇ shownet.conf_mini • https://www.interop.jp/shownet/point/ • 6⽉23⽇ shownet.conf_ • https://f2ff.jp/event/int-2021-conf

37. Copyright © Interop Tokyo 2021 ShowNet NOC Team ご協⼒企業様（五⼗⾳順）

38. None