Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ShowNet2021 Security_parapara
Search
ShowNet
PRO
July 01, 2021
Technology
0
14
ShowNet2021 Security_parapara
ShowNet
PRO
July 01, 2021
Tweet
Share
More Decks by ShowNet
See All by ShowNet
ShowNetの歩き方 2023
shownet
PRO
0
5
ShowNet2023 Topology
shownet
PRO
0
320
ShowNet2023 External
shownet
PRO
0
20
【shownet.conf_2023】ShowNetのネットワークを解説~最新鋭の技術で作るマルチテナントバックボーン~
shownet
PRO
0
1.4k
【shownet.conf_2023】ローカル5Gサービス提供への挑戦とその知見
shownet
PRO
0
1.4k
【shownet.conf_2023】パフォーマンス計測と詳細分析を組合わせた監視基盤の実現
shownet
PRO
0
1.4k
【shownet.conf_2023】ShowNetを守るセキュリティ〜広帯域化するネットワークを守る新たな挑戦〜
shownet
PRO
0
1.4k
【shownet.conf_2023】ShowNet を効率良く試験するために
shownet
PRO
0
1.6k
【shownet.conf_2023】ShowNet2023 伝送報告
shownet
PRO
0
1.7k
Other Decks in Technology
See All in Technology
今日からできる!簡単 .NET 高速化 Tips -2024 edition-
xin9le
7
3.6k
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
1k
The AI Revolution Will Not Be Monopolized: Behind the scenes
inesmontani
PRO
1
160
Babylon.jsと色々なものを組み合わせる:ブラウザのAPIやガジェットや2D描画ライブラリなど / Babylon.js 勉強会 vol.3
you
PRO
0
160
Building a RAG-poweredAI chat appwith Python and VS Code
pamelafox
0
150
Microsoft Intune 勉強会 第 2 回目
tamaiyutaro
2
380
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
2.3k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
37k
MixIT 2024 - Pulumi : Gérer son infra avec son langage de programmation préféré
ju_hnny5
1
120
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
4
610
チームでロジカルシンキングに改めて向き合っている話 〜学習環境と実践⽅法〜
sansantech
PRO
3
3.2k
Featured
See All Featured
Art, The Web, and Tiny UX
lynnandtonic
290
19k
Web Components: a chance to create the future
zenorocha
306
41k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
660
120k
Building Applications with DynamoDB
mza
88
5.6k
Stop Working from a Prison Cell
hatefulcrawdad
267
19k
Embracing the Ebb and Flow
colly
80
4.2k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
79
43k
Building Adaptive Systems
keathley
32
1.9k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
Creatively Recalculating Your Daily Design Routine
revolveconf
211
11k
Build your cross-platform service in a week with App Engine
jlugia
226
17k
Reflections from 52 weeks, 52 projects
jeffersonlam
345
19k
Transcript
2021年 ShowNet セキュリティの取り組み ShowNet NOC チームメンバ セキュリティ担当
Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet
2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker
Copyright © Interop Tokyo 2021 ShowNet NOC Team 2021年はShowNetでZTAにチャレンジ ワークロード
エンドポイント ネットワーク ID クラウド 守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security ZTA : NIST SP800-207 Zero Trust Architecture
ShowNetにおける ゼロトラストモデルの適⽤
Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250
SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ ト ー ク ン ⑩ リソースへアクセス ShowNetへのセキュアアクセス概要(SDP + MFA)
Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御 守るべきリソース保護のための継続的な検証と評価
• ShowNetをリモートから安全に 構築・管理・運⽤するためのアク セス⽅法の⼀つとして、 AppGate SDP(Software- Defined Perimeter)を採⽤ • SDPでは、リモート端末が保護さ れたリソースにアクセスする際、 コントローラ側で定義されたポリ シーによって動的に接続の可否を 判定、セッション情報を記録 • これにより、アクセスできるリ ソースをユーザや端末の状況から 動的に制御でき、適切なセキュリ ティポリシーを継続して適⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの 検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述
Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス(SASE +
MFA) TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP
Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスサービスの提供 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤
• リモートからShowNetへ安全にア クセスするための⽅法の⼀つとし て、Prisma Accessによる SASE(Secure Access Service Edge)を⽤いたリモートアクセス を提供 • リモート端末からのインターネッ ト及びShowNetへの通信をSASE に集約し、セキュリティ機能を適 ⽤することにより、端末を脅威か ら保護すると同時に、通信トラ フィックを継続的に監視 • セキュリティ上の問題が発⽣した 場合、SASE側で通信を制御するこ とにより、リソースを不正なアク セスから保護することが可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセス インターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall
Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証の開発 ⼀元的な認証認可によるリソースの保護
• ShowNetのリソースに対してリモー トからのアクセスを提供するに際し て、適切な認証と、リソースへのア クセス認可を実施する必要がある • ShowNetの運⽤データベースである TTDBにSAML認証の仕組みを実装す ることで、実際に運⽤・管理を実施 するNOC及びコントリビュータの ユーザ管理と認証を⼀元的に実施 • NOC側で個別にアクセス許可を⾏う ことにより、リソースへのアクセス を必要なユーザに対してのみ提供す ることが可能となった ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可 ユーザへのアクセスを許可 NOC SASE SDP FortiGate 作った⼈
Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドの セキュリティポリシ監視
リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator
サービス提供の取り組み
Copyright © Interop Tokyo 2021 ShowNet NOC Team セキュリティサービスの提供 •
NGFW / Sandboxによりリアルタイム で 脅威を遮断するセキュリティサービスを 100Gインラインで接続 • 2台のアプライアンスでホール毎に出展社 ブーストラフィックをSymmetricに監視 • Hall 3, Hall 4, 来場者向けWi-Fi • PA-5280 and WildFire • Hall 5, Hall 6, ShowNet⽣活⽤NW • FortiGate 4401F and FortiSandbox
Copyright © Interop Tokyo 2021 ShowNet NOC Team • FortiGate4401f
/ FortiAI / FortiNAC • PA-5260 / IoTセキュリティサービス • DAMBALLA • Check Point Security Appliances / Check Point SandBlast • TiFRONT • Stealthwatch • Threat Wall • NSX NDR 脅威検出 ネットワークトラフィックの解析と対応 EXA48600 Vision X Flex TAP トラフィック複製 Synesis ネットワークフォレンジック Operator NIRVANA改弐 重複排除 分配 集約 インシデント対応 相関分析 検知アラート
Copyright © Interop Tokyo 2021 ShowNet NOC Team スレットインテリジェンスを活⽤した プロアクティブな脅威検出
• TIPとSIEMの連携 • アラート / ログに対するサイバー攻撃の痕跡調査と対処 • Interop Tokyo / ShowNetのクレデンシャルリーク タイポスクワッディングの監視 EXIST AutoFocus Recorded Future CyberTotal VMware Threat Intelligence CURE NIRVANA改弐 Endpoint Security Security Appliances xFlow TI / SIEM連携 Feed / API Alert / Log セキュリティリサーチャ による脅威レポート サイバー攻撃キャン ペーンの IoC / TTPs ShowNet外部の脅威監視
Copyright © Interop Tokyo 2021 ShowNet NOC Team インシデント未然防⽌のための脆弱性検査 •
ShowNet内外から脆弱性スキャナによる検査を実施 • ⾒つかった脆弱性は本番運⽤前に対処を実施 Nessus Scanner Nessus Scanner Nessus Scanner Nessus Scanner x4 Tenable.io ob-mgmt mgmt global-life Skybox private-life ShowNet global Internet Cloud global Cloud mgmt VPN
Copyright © Interop Tokyo 2021 ShowNet NOC Team ご協⼒企業様(五⼗⾳順)