Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ShowNet2021 Security_parapara

Avatar for ShowNet ShowNet PRO
July 01, 2021
Technology
0
22

ShowNet2021 Security_parapara

Avatar for ShowNet

ShowNet PRO

July 01, 2021
Tweet

More Decks by ShowNet

See All by ShowNet
【swonet.conf_ 2025】AI技術 x 高精度な監視データ収集で築くインテリジェントな運用・監視基盤
Avatar for ShowNet shownet
PRO
0
10
【swonet.conf_ 2025】ゼロトラストで支える広帯域セキュリティサービスと脅威監視基盤
Avatar for ShowNet shownet
PRO
0
7
【swonet.conf_ 2025】効率化と見える化で進化し続けるファシリティの構築
Avatar for ShowNet shownet
PRO
0
5
【swonet.conf_ 2025】ShowNet Watt Quest ~ネットワーク省電力化に向けた計測・分析~
Avatar for ShowNet shownet
PRO
0
4
【swonet.conf_ 2025】オープニングセッション
Avatar for ShowNet shownet
PRO
0
5
【swonet.conf_ 2025】ShowNet基礎知識
Avatar for ShowNet shownet
PRO
0
9
【swonet.conf_ 2025】ShowNet Media-X : ShowNetがつないだ放送のミライ
Avatar for ShowNet shownet
PRO
0
4
【swonet.conf_ 2025】AI基盤からエッジまで、多様化するネットワークとテストの進化
Avatar for ShowNet shownet
PRO
0
3
【swonet.conf_ 2025】SRv6 による k8s マルチテナント環境と次世代 AI ネットワーク/サービス基盤
Avatar for ShowNet shownet
PRO
0
6

Other Decks in Technology

See All in Technology
20251029_Cursor Meetup Tokyo #02_MK_「あなたのAI、私のシェル」 - プロンプトインジェクションによるエージェントのハイジャック
Avatar for Masayuki Kawakita mk0721
PRO
6
2.2k
ViteとTypeScriptのProject Referencesで 大規模モノレポのUIカタログのリリースサイクルを高速化する
Avatar for did0es shuta13
3
240
re:Inventに行くまでにやっておきたいこと
Avatar for nagisa_53 nagisa53
0
900
GCASアップデート(202508-202510)
Avatar for 高橋広和 techniczna
0
230
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
0
410
オブザーバビリティと育てた ID管理・認証認可基盤の歩み / The Journey of an ID Management, Authentication, and Authorization Platform Nurtured with Observability
Avatar for 株式会社カミナシ kaminashi
2
1.6k
組織全員で向き合うAI Readyなデータ利活用
Avatar for harry gappy50
5
2k
文字列操作の達人になる ~ Kotlinの文字列の便利な世界 ~ - Kotlin fest 2025
Avatar for Tomoki Yamashita tomorrowkey
2
310
ストレージエンジニアの仕事と、近年の計算機について / 第58回 情報科学若手の会
Avatar for Preferred Networks pfn
PRO
4
940
Okta Identity Governanceで実現する最小権限の原則
Avatar for 株式会社出前館 demaecan
0
230
境界線が消える世界におけるQAエンジニアのキャリアの可能性を考える / Considering the Career Possibilities for QA Engineers
Avatar for miisan mii3king
2
110
DSPy入門
Avatar for TomuHirata tomehirata
6
830

Featured

See All Featured
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
14k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
230
22k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
37
2.6k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
2.9k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.7k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
161
23k
It's Worth the Effort
Avatar for 3n 3n
187
28k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k

Transcript

  1. 2021年 ShowNet セキュリティの取り組み ShowNet NOC チームメンバ セキュリティ担当

  2. Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet

    2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker

  3. Copyright © Interop Tokyo 2021 ShowNet NOC Team 2021年はShowNetでZTAにチャレンジ ワークロード

    エンドポイント ネットワーク ID クラウド 守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security ZTA : NIST SP800-207 Zero Trust Architecture

  4. ShowNetにおける ゼロトラストモデルの適⽤

  5. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250

    SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ ト ー ク ン ⑩ リソースへアクセス ShowNetへのセキュアアクセス概要(SDP + MFA)

  6. Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御 守るべきリソース保護のための継続的な検証と評価

    • ShowNetをリモートから安全に 構築・管理・運⽤するためのアク セス⽅法の⼀つとして、 AppGate SDP(Software- Defined Perimeter)を採⽤ • SDPでは、リモート端末が保護さ れたリソースにアクセスする際、 コントローラ側で定義されたポリ シーによって動的に接続の可否を 判定、セッション情報を記録 • これにより、アクセスできるリ ソースをユーザや端末の状況から 動的に制御でき、適切なセキュリ ティポリシーを継続して適⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの 検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述

  7. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス(SASE +

    MFA) TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP

  8. Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスサービスの提供 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤

    • リモートからShowNetへ安全にア クセスするための⽅法の⼀つとし て、Prisma Accessによる SASE(Secure Access Service Edge)を⽤いたリモートアクセス を提供 • リモート端末からのインターネッ ト及びShowNetへの通信をSASE に集約し、セキュリティ機能を適 ⽤することにより、端末を脅威か ら保護すると同時に、通信トラ フィックを継続的に監視 • セキュリティ上の問題が発⽣した 場合、SASE側で通信を制御するこ とにより、リソースを不正なアク セスから保護することが可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセス インターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall

  9. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証の開発 ⼀元的な認証認可によるリソースの保護

    • ShowNetのリソースに対してリモー トからのアクセスを提供するに際し て、適切な認証と、リソースへのア クセス認可を実施する必要がある • ShowNetの運⽤データベースである TTDBにSAML認証の仕組みを実装す ることで、実際に運⽤・管理を実施 するNOC及びコントリビュータの ユーザ管理と認証を⼀元的に実施 • NOC側で個別にアクセス許可を⾏う ことにより、リソースへのアクセス を必要なユーザに対してのみ提供す ることが可能となった ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可 ユーザへのアクセスを許可 NOC SASE SDP FortiGate 作った⼈

  10. Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドの セキュリティポリシ監視

    リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator

  11. サービス提供の取り組み

  12. Copyright © Interop Tokyo 2021 ShowNet NOC Team セキュリティサービスの提供 •

    NGFW / Sandboxによりリアルタイム で 脅威を遮断するセキュリティサービスを 100Gインラインで接続 • 2台のアプライアンスでホール毎に出展社 ブーストラフィックをSymmetricに監視 • Hall 3, Hall 4, 来場者向けWi-Fi • PA-5280 and WildFire • Hall 5, Hall 6, ShowNet⽣活⽤NW • FortiGate 4401F and FortiSandbox

  13. Copyright © Interop Tokyo 2021 ShowNet NOC Team • FortiGate4401f

    / FortiAI / FortiNAC • PA-5260 / IoTセキュリティサービス • DAMBALLA • Check Point Security Appliances / Check Point SandBlast • TiFRONT • Stealthwatch • Threat Wall • NSX NDR 脅威検出 ネットワークトラフィックの解析と対応 EXA48600 Vision X Flex TAP トラフィック複製 Synesis ネットワークフォレンジック Operator NIRVANA改弐 重複排除 分配 集約 インシデント対応 相関分析 検知アラート

  14. Copyright © Interop Tokyo 2021 ShowNet NOC Team スレットインテリジェンスを活⽤した プロアクティブな脅威検出

    • TIPとSIEMの連携 • アラート / ログに対するサイバー攻撃の痕跡調査と対処 • Interop Tokyo / ShowNetのクレデンシャルリーク タイポスクワッディングの監視 EXIST AutoFocus Recorded Future CyberTotal VMware Threat Intelligence CURE NIRVANA改弐 Endpoint Security Security Appliances xFlow TI / SIEM連携 Feed / API Alert / Log セキュリティリサーチャ による脅威レポート サイバー攻撃キャン ペーンの IoC / TTPs ShowNet外部の脅威監視

  15. Copyright © Interop Tokyo 2021 ShowNet NOC Team インシデント未然防⽌のための脆弱性検査 •

    ShowNet内外から脆弱性スキャナによる検査を実施 • ⾒つかった脆弱性は本番運⽤前に対処を実施 Nessus Scanner Nessus Scanner Nessus Scanner Nessus Scanner x4 Tenable.io ob-mgmt mgmt global-life Skybox private-life ShowNet global Internet Cloud global Cloud mgmt VPN

  16. Copyright © Interop Tokyo 2021 ShowNet NOC Team ご協⼒企業様(五⼗⾳順)