ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 studio 20210414

Transcript

1. ShowNet 2021 ゼロトラストモデルによる 次世代セキュリティアーキテクチャ Interop Tokyo 2021 ShowNet NOCチームメンバ セキュリティ担当

   神宮 真⼈ （情報通信研究機構） 橋本 賢⼀郎（ヴイエムウェア） 明⽯ 邦夫 （東京⼤学） 清⽔ ⼀貴 （ジュニパーネットワークス）

2. Copyright © Interop Tokyo 2021 ShowNet NOC Team アジェンダ •

   ShowNetとは • ShowNetにおけるセキュリティの課題 • 2021年 ShowNetセキュリティ対策概要 • ShowNetにおけるゼロトラストモデルの適⽤

3. ShowNet とは

4. Copyright © Interop Tokyo 2021 ShowNet NOC Team Interop Tokyo

   • 世界最⼤のネットワーク機器と技術の展⽰会 • 1986年⽶国モントレで開催されたカンファレンスイベント 「TCP/IP Vendors Workshop」が始まり • ⽇本では毎年6⽉に幕張メッセで開催 • 来場者約14万⼈

5. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetとは︖ Interop

   と ShowNetについて • 産業界、学術界、研究機関から集まるトップエンジニア実施する世界最⼤級の ライブデモンストレーションプロジェクト • 2年後、３年後に業界に浸透する技術を先駆けて挑戦 • 世界、国内で初披露（実稼働）される新製品も実装 • 最新技術を実装しながら安定したサービスを出展ブース・来場者に提供 • Interop Tokyoが唯⼀、開催当初のスピリットを継承 • 産学官から集まったNOCチームメンバーと、機器やサービスを提供するコン トリビュータ、⼀般から公募するボランティア「STM」の三位⼀体で構築

6. Copyright © Interop Tokyo 2021 ShowNet NOC Team

7. ShowNet 2021における セキュリティの課題

8. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetの環境変化へのチャレンジ Work

   from anywhere Work from Home 法的制限や会社のルールに よって参加が困難 利⽤者の延べ⼈数が 500⼈近い規模 継続した安定運⽤ 冗⻑性の確保 認証認可の⼀元化 統⼀したセキュリ ティポリシの適⽤

9. Copyright © Interop Tokyo 2021 ShowNet NOC Team ひとつのアーキテクチャで守るのではなく、 個々のトランザクションを検証

   ゼロトラストは「戦術」であり、「戦術」はコピーできない ゼロトラストの原則 すべてのデータソースとコンピューティングサービスをリソースとみなす ネットワークロケーションにかかわらず、すべての通信を保護する すべてのリソースの認証と承認は、アクセスが許可される前に動的・厳密に実施する リソースへのアクセスをセッション単位に許可する リソースへのアクセスを、動的ポリシーによって決定する 所有または関連するすべての資産の⽣合成とセキュリティ体制を監視し評価する 資産、ネットワークインフラ、通信の現在の状況を可能な限り多くの情報を収集し、セキュ リティ体制を改善する ゼロトラストをShowNetに適⽤

10. Copyright © Interop Tokyo 2021 ShowNet NOC Team Zero Trust

    Architecture at ShowNet ワークロード エンドポイント ネットワーク ID クラウド 守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security

11. ShowNetにおける ゼロトラストモデルの適⽤

12. Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソース保護のための継続的な検証と評価 •

    ShowNetにおけるリソースとは • トラフィック に含まれるデータ • 使われるアプリケーション • デバイス • NOC / STM / コントリビュータの端末 • 出展社ブースに接続された端末 • 来場者向けWi-Fiに接続された端末 • 全てのデータソースとコンピューティングサービスを リソースとみなす

13. Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御 守るべきリソース保護のための継続的な検証と評価

    • ShowNetをリモートから安全に構築・管 理・運⽤するためのアクセス⽅法の⼀つと して、AppGate SDP(Software-Defined Perimeter)を使⽤ • SDPでは、リモート端末が保護されたリ ソースにアクセスする際に、コントローラ 側で定義されたポリシーによって動的に接 続の可否を判定し、セッション情報を記録 する • これにより、アクセスできるリソースを ユーザや端末の状況から動的に制御でき、 適切なセキュリティポリシーを継続して適 ⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの 検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述

14. Copyright © Interop Tokyo 2021 ShowNet NOC Team • オペレータ端末においてインシデントが発⽣した際に侵害の痕跡を追跡するた

    めにエンドポイント製品を導⼊ • EDRによるリモートライブフォレンジック • BAS製品による模擬攻撃の検出テストを実施 • 導⼊したエンドポイント製品 • Cortex XDR • FortiEDR • Xensor Agent オペレータ端末へのエンドポイントセキュリティ 守るべきリソース保護のための継続的な検証と評価 Operator EDR 管理コンソール ②全端末に対して スキャン指⽰ Agent ⼆次感染端末 ①⼆次感染マルウェア の検知アラート 正常端末 ⼀次感染端末 Agent ③スキャン実⾏ ④⼀次感染端末を検出

15. Copyright © Interop Tokyo 2021 ShowNet NOC Team リモートワークとマルチクラウド環境に ⼀貫した動的セキュリティポリシの適⽤

16. Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスの提供 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤

    • リモートからShowNetへ安全にアクセス するための⽅法の⼀つとして、Prisma AccessによるSASE(Secure Access Service Edge)を⽤いたリモートアクセス を提供 • リモート端末からのインターネット及び ShowNetへの通信をSASEに集約し、セ キュリティ機能を適⽤することにより、端 末を脅威から保護すると同時に、通信トラ フィックを継続的に監視 • セキュリティ上の問題が発⽣した場合、 SASE側で通信を制御することにより、リ ソースを不正なアクセスから保護すること が可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセス インターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall

17. Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドの セキュリティポリシ監視

    リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator

18. Copyright © Interop Tokyo 2021 ShowNet NOC Team ⼀元的な認証認可による リソースの保護

19. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証 ⼀元的な認証認可によるリソースの保護

    • ShowNetのリソースに対してリモートか らのアクセスを提供するに際して、適切な 認証と、リソースへのアクセス認可を実施 する必要がある • ShowNetの運⽤データベースであるTTDB にSAML認証の仕組みを実装することで、 実際に運⽤・管理を実施するNOC及びコン トリビュータのユーザ管理と認証を⼀元的 に実施 • NOC側で個別にアクセス許可を⾏うことに より、リソースへのアクセスを必要なユー ザに対してのみ提供することが可能となっ た ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可 ユーザへのアクセスを許可 NOC SASE SDP FortiGate

20. Copyright © Interop Tokyo 2021 ShowNet NOC Team 多要素認証によるなりすまし防⽌ ⼀元的な認証認可によるリソースの保護

    • TTDBによる認証の⼀元化 に加えて、Cisco Duo によ る⼆要素認証を必須とし、 モバイルデバイスを⽤いた 追加認証を実施 • これにより、本⼈からのア クセスであることを確認し、 ユーザの使い回しやなりす ましを防⽌

21. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250

    SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 （ デ バ イ ス ） ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ ト ー ク ン ⑩ リソースへアクセス ShowNetへのリモートアクセス（SDP + MFA）

22. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス（SASE +

    MFA） TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 （ デ バ イ ス ） ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP

23. Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet

    2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker

24. Copyright © Interop Tokyo 2021 ShowNet NOC Team ご協⼒企業様（五⼗⾳順）

25. Copyright © Interop Tokyo 2021 ShowNet NOC Team