次世代ファイアーウォールの次に来るもの、 インテリジェントファイアーウォール、 SRXシリーズニューリリース登場! ジュニパーネットワークス株式会社 2014.6 次世代ファイアウォールからインテリジェントファイアウォールへ レイヤ7 2 3 インテリジェント ファイアウォール 次世代 ファイアウォール ダイナミック スタテッィク 1 従来の ファイアウォール レイヤ 3 2 Copyright © 2014 Juniper Networks, Inc. www.juniper.net なぜファイアウォールにインテリジェンスが必要か? § 多くのケースにおいて、攻撃の能⼒力力が防御の能⼒力力を上回っている § 新たな脅威が今後も⽣生まれ続ける環境において、企業も⾃自らを守る新たな対策を講じる必要 がある § セキュリティにはこれだけで完全という対策はない。セキュリティソリューションは、スタ ティックなスタンドアロンデバイスの組み合わせから、デバイスを相互に連携し合うエコシ ステムへの進化が求められる § 現状のファイアウォールはポリシーエンフォースメント機能(例例: ファイアウォール、アプリ ケーション可視化・制御) としては良良いが、セキュリティ脅威の検知、緩和対策としては不不 ⼗十分 § 企業は、業種などに応じて柔軟かつリアルタイムでセキュリティ脅威情報を取り込むような 仕組みが必要で、それは単⼀一ベンダーの情報ソースに限定されるべきではない 3 Copyright © 2014 Juniper Networks, Inc. www.juniper.net インテリジェントファイアウォールのエコシステム データフィード 0101110100101001001110 0101110100101001001110 0100010100101001001110 Spotlight Cloud 0100101100101001001110 0100110100101001001110 攻撃者の フィンガープリント Spotlight サービス WebApp Secure 4 Spotlight Connector SRX 次世代ファイアウォールから インテリジェントファイアウォールへ カスタム インテリジェンス フィード Copyright © 2014 Juniper Networks, Inc. www.juniper.net SPOTLIGHT クラウド – セキュリティ・インテリジェンス・エンジン ハッカーのフィンガープリント サードパーティフィード ジュニパーセキュリティ インテリジェンス・フィード Spotlight クラウド オープンソースフィード 個別フィード フィードの検証 -‐‑‒ 誤検知のテスト -‐‑‒ フィード間の相関分析 -‐‑‒ 機械による⾃自動学習 -‐‑‒ … 5 Copyright © 2014 Juniper Networks, Inc. www.juniper.net セキュリティ・インテリジェンス・ソリューションの構成要素 情報ソース Junos Spaceプラットフォーム (13.3) Security Director (13.3) Spotlight Cloud WebAppSecure (5.5) Branch SRX (2G) 12.1x46-‐‑‒D25* HE-‐‑‒SRX 1k/3k (C&C + GeoIP feed) (Attacker IP and Fingerprint feed) エンフォースメントポイント 12.1x46-‐‑‒D25* Spotlight Connector HE-‐‑‒SRX 5k 12.1x46-‐‑‒D25* * The exact Junos release is not yet committed and may change Custom whitelist/blacklist (IP list feed) 6 Copyright © 2014 Juniper Networks, Inc. www.juniper.net セキュリティ・インテリジェンス・エコシステムで何ができるか? C&Cブロック による、 ボットの検知と 感染阻⽌止 カスタム インテリジェンス による コントロール 迅速な インシデント対応 7 Copyright © 2014 Juniper Networks, Inc. フィンガー プリントによる 攻撃者の ブロック GEOIP トラフィックを 動的に コントロール www.juniper.net …さらなる拡張 ユースケース #1: 感染したホストの検知 コマンド&コントロールサーバのブロック Spotlight クラウド インターネット IP/URL フィード IP/URL フィード Spotlight Connector 8 SRX 感染したデバイスはインターネットを通じて既知の コマンド&コントロールサーバへの接続を試みる SRXは、既知のコマンド&コントロールサーバのIP アドレスやURL情報をもとに、リアルタイムでトラ フィックを遮断する フィードデータは動的にロードされるので、SRXに コミットやコンフィグレーションの変更更は不不要 Copyright © 2014 Juniper Networks, Inc. www.juniper.net ユースケース #2: フィンガープリントによる攻撃者からの通信のブロック 1. カスタマ-‐‑‒BのWebApp SecureはSpotlightク ラウドから攻撃者のフィンガープリントを受 け取る NAT-‐‑‒ Gateway Spotlight クラウド カスタマ-‐‑‒A インターネット 1 WebApp Secure 3 SRX Spotlight Connector 3. SRXはデバイスのフィンガープリントに基づ き攻撃者をブロック。攻撃者と同じIPアドレ スを持っていても正当なユーザであればトラ フィックはブロックされない SRX SRX 2 9 カスタマ-‐‑‒B 2. カスタマ-‐‑‒BのWebApp Secureはそのフィン ガープリントをSpotlight Connectorを通じ て対象となるSRXデバイスにフィードする WebApp Secure Copyright © 2014 Juniper Networks, Inc. ハッカーがカスタマのWebサイトをアクセスした だけで、つまり攻撃を仕掛ける前に ファイアウォールが攻撃者を検知できる、 業界初のソリューションである www.juniper.net ユースケース #3: GEOIPベースのトラフィック制御 ダイナミックアドレスグループ • ダイナミックアドレスグループは、ファイア ウォールルールの中で、”ソースアドレス” としても、”デスティネーションアドレス”としても 利利⽤用可能 • ダイナミックアドレスグループは動的に更更新 されるので、コンフィグレーションのコミットは 不不要 • 最初のバージョンでは、次のタイプのフィードが サポートされる • Custom IP-‐‑‒listフィード (ファイルから) • GeoIPフィード (Spotlightクラウドから) 10 Copyright © 2014 Juniper Networks, Inc. www.juniper.net ユースケース #4: カスタムフィード IPアドレスのカスタムフィードにより、ブ ロックしたり、検査の精度度を変更更したりする Internet IP feed IP feed Spotlight Connector 11 カスタマはIPアドレスリストを信頼のおけるサード パーティから⼊入⼿手し、それをポリシーエンフォース メントに活⽤用可能 Webサーバに保存されたファイルにSpotlight Connectorが決められた時間毎にポーリングし、 SRXを動的に更更新する。その際、コミット、コン フィグレーションの変更更は不不要 このフィードは単純なブラックリストとしても利利⽤用 できるし、それをダイナミックアドレスグループに 登録し、ファイアウォールポリシーのソースまたは デスティネーションの照合に利利⽤用することも可能 Copyright © 2014 Juniper Networks, Inc. www.juniper.net まとめ セキュリティ – インテリジェントFWの時代へ 時代はインテリジェンス! 進化し続ける ダイナミック・サービスゲートウェイ SRXシリーズ アタッカーID NEW! SRX5400 ・FW/VPN, UTM, IPS機能 ・AppSecure機能 ・アプリケーションの可視化 ・制御(AppFW/AppQoS) ・User ID FW ・ディレクトリーサービス Windows Active Directoryと 連携し、ユーザ名及びグループ名に基くセキュリティ ポリシーを展開 12 Spotlight Secure インテリジェンスの 他の WebApp Secure WebApp Secure 拡張(将来) コマンド GeoIP & コントロール インテリジェンスシステム Spotlight Connector Junos Space Security Director Copyright © 2014 Juniper Networks, Inc. • • • • ポリシー管理 RBAC UTM ロギング& レポーティング www.juniper.net カスタムデータ フィード • 企業固有 • 政府 • 業種 追加サービス& アプライアンス (Argon , Firefly, など) SRXシリーズ インテリジェンスシステム • セキュリティインテリジェンスポリシー • ダイナミックアドレスグループ ココ! ご清聴ありがとうございました。 デモコーナーにもお⽴立立ち寄りください。 13 Copyright © 2014 Juniper Networks, Inc. www.juniper.net 現在地
© Copyright 2024 ExpyDoc
