Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ShowNet2021 Security_parapara

ShowNet
PRO
July 01, 2021
Technology
0
17

ShowNet2021 Security_parapara

ShowNet
PRO

July 01, 2021
Tweet

More Decks by ShowNet

See All by ShowNet
【shownet.conf_】ShowNet 2024 ~ Inter * Network ~
shownet
PRO
0
770
【shownet.conf_】ShowNet伝送改めShowNet APN 2024
shownet
PRO
0
650
【shownet.conf_】コンピューティング資源を統合した分散コンテナ基盤の進化
shownet
PRO
0
610
【shownet.conf_】ShowNet x 宇宙ネットワーク
shownet
PRO
0
580
【shownet.conf_】多様化するネットワーク環境を柔軟に統合するルーティングテクノロジー
shownet
PRO
0
560
【shownet.conf_】3Dアプローチで守るセキュリティ
shownet
PRO
0
560
【shownet.conf_】トポロジ図の歩き方
shownet
PRO
0
750
【shownet.conf_】AI技術とUX監視の応用でShowNetの基盤を支えるモニタリングシステム
shownet
PRO
0
570
【shownet.conf_】ローカル5Gを活用したウォーキングツアーの体感向上
shownet
PRO
0
520

Other Decks in Technology

See All in Technology
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
310
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
300
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
180
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
1
430
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
690
『Firebase Dynamic Links終了に備える』 FlutterアプリでのAdjust導入とDeeplink最適化
techiro
0
130
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
890
プロダクト活用度で見えた真実 ホリゾンタルSaaSでの顧客解像度の高め方
tadaken3
0
180
Lambdaと地方とコミュニティ
miu_crescent
2
370

Featured

See All Featured
Producing Creativity
orderedlist
PRO
341
39k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
Writing Fast Ruby
sferik
627
61k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
420
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Designing the Hi-DPI Web
ddemaree
280
34k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Visualization
eitanlees
145
15k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
A Philosophy of Restraint
colly
203
16k
Faster Mobile Websites
deanohume
305
30k

Transcript

  1. 2021年 ShowNet セキュリティの取り組み ShowNet NOC チームメンバ セキュリティ担当

  2. Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet

    2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker

  3. Copyright © Interop Tokyo 2021 ShowNet NOC Team 2021年はShowNetでZTAにチャレンジ ワークロード

    エンドポイント ネットワーク ID クラウド 守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security ZTA : NIST SP800-207 Zero Trust Architecture

  4. ShowNetにおける ゼロトラストモデルの適⽤

  5. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250

    SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ ト ー ク ン ⑩ リソースへアクセス ShowNetへのセキュアアクセス概要(SDP + MFA)

  6. Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御 守るべきリソース保護のための継続的な検証と評価

    • ShowNetをリモートから安全に 構築・管理・運⽤するためのアク セス⽅法の⼀つとして、 AppGate SDP(Software- Defined Perimeter)を採⽤ • SDPでは、リモート端末が保護さ れたリソースにアクセスする際、 コントローラ側で定義されたポリ シーによって動的に接続の可否を 判定、セッション情報を記録 • これにより、アクセスできるリ ソースをユーザや端末の状況から 動的に制御でき、適切なセキュリ ティポリシーを継続して適⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの 検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述

  7. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス(SASE +

    MFA) TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP

  8. Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスサービスの提供 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤

    • リモートからShowNetへ安全にア クセスするための⽅法の⼀つとし て、Prisma Accessによる SASE(Secure Access Service Edge)を⽤いたリモートアクセス を提供 • リモート端末からのインターネッ ト及びShowNetへの通信をSASE に集約し、セキュリティ機能を適 ⽤することにより、端末を脅威か ら保護すると同時に、通信トラ フィックを継続的に監視 • セキュリティ上の問題が発⽣した 場合、SASE側で通信を制御するこ とにより、リソースを不正なアク セスから保護することが可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセス インターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall

  9. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証の開発 ⼀元的な認証認可によるリソースの保護

    • ShowNetのリソースに対してリモー トからのアクセスを提供するに際し て、適切な認証と、リソースへのア クセス認可を実施する必要がある • ShowNetの運⽤データベースである TTDBにSAML認証の仕組みを実装す ることで、実際に運⽤・管理を実施 するNOC及びコントリビュータの ユーザ管理と認証を⼀元的に実施 • NOC側で個別にアクセス許可を⾏う ことにより、リソースへのアクセス を必要なユーザに対してのみ提供す ることが可能となった ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可 ユーザへのアクセスを許可 NOC SASE SDP FortiGate 作った⼈

  10. Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドの セキュリティポリシ監視

    リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator

  11. サービス提供の取り組み

  12. Copyright © Interop Tokyo 2021 ShowNet NOC Team セキュリティサービスの提供 •

    NGFW / Sandboxによりリアルタイム で 脅威を遮断するセキュリティサービスを 100Gインラインで接続 • 2台のアプライアンスでホール毎に出展社 ブーストラフィックをSymmetricに監視 • Hall 3, Hall 4, 来場者向けWi-Fi • PA-5280 and WildFire • Hall 5, Hall 6, ShowNet⽣活⽤NW • FortiGate 4401F and FortiSandbox

  13. Copyright © Interop Tokyo 2021 ShowNet NOC Team • FortiGate4401f

    / FortiAI / FortiNAC • PA-5260 / IoTセキュリティサービス • DAMBALLA • Check Point Security Appliances / Check Point SandBlast • TiFRONT • Stealthwatch • Threat Wall • NSX NDR 脅威検出 ネットワークトラフィックの解析と対応 EXA48600 Vision X Flex TAP トラフィック複製 Synesis ネットワークフォレンジック Operator NIRVANA改弐 重複排除 分配 集約 インシデント対応 相関分析 検知アラート

  14. Copyright © Interop Tokyo 2021 ShowNet NOC Team スレットインテリジェンスを活⽤した プロアクティブな脅威検出

    • TIPとSIEMの連携 • アラート / ログに対するサイバー攻撃の痕跡調査と対処 • Interop Tokyo / ShowNetのクレデンシャルリーク タイポスクワッディングの監視 EXIST AutoFocus Recorded Future CyberTotal VMware Threat Intelligence CURE NIRVANA改弐 Endpoint Security Security Appliances xFlow TI / SIEM連携 Feed / API Alert / Log セキュリティリサーチャ による脅威レポート サイバー攻撃キャン ペーンの IoC / TTPs ShowNet外部の脅威監視

  15. Copyright © Interop Tokyo 2021 ShowNet NOC Team インシデント未然防⽌のための脆弱性検査 •

    ShowNet内外から脆弱性スキャナによる検査を実施 • ⾒つかった脆弱性は本番運⽤前に対処を実施 Nessus Scanner Nessus Scanner Nessus Scanner Nessus Scanner x4 Tenable.io ob-mgmt mgmt global-life Skybox private-life ShowNet global Internet Cloud global Cloud mgmt VPN

  16. Copyright © Interop Tokyo 2021 ShowNet NOC Team ご協⼒企業様(五⼗⾳順)