SDP ソフトウェアー・ディファインド・ペリメーター ソフトウェアー・ディファインド・ペリメーター (Software Defined Perimeter) ベライゾンジャパン合同会社 テクニカルソリューション本部 エンタープライズアーキテクト 工藤 清仁 エンタープライズ環境は変化しています Latency Topology Connectivity tolerance resource s customer s Data cost Center location requirements End Points Risks suppliers Performance devices users fixed Strategy QoS balance CPE Mobile applications 2 Software Defined Perimeter “時間的に変化するネットワーク” SDPとは SDPとは? とは 特定のIP 特定のIPアドレスや IPアドレスやDNS アドレスやDNS名など DNS名などを狙った攻撃 名などを狙った攻撃(Network を狙った攻撃(Network(Network-Based Attacks) からアプリケーションサーバーインフラ を守るセキュリティフレームワーク 知る必要が 知る必要がある人 必要がある人に ある人にだけダイナミックに通信ネットワークを だけダイナミックに通信ネットワークを組み立てて、通信を行うモデル 明示的なDNS 明示的なDNS名や DNS名やIP 名やIPアドレスを使用しない IPアドレスを使用しない クラウドベースのSDP クラウドベースのSDPサービスは背後にアプリケーションを安全に隠す事ができる SDPサービスは背後にアプリケーションを安全に隠す事ができる SDPは はCSAによって策定されたオープンスタンダードです によって策定されたオープンスタンダードです。 標準化メンバー によって策定されたオープンスタンダードです。ベライゾンはSDP標準化メンバー ベライゾンは でありその は新しいプロトコルというよりも既存のスタンダー でありその標準化に貢献して来ました その標準化に貢献して来ました。 標準化に貢献して来ました。SDPは新しいプロトコルというよりも既存のスタンダー ドプロトコルをベースとしたプロトコルワークフローであると言えます。 ドプロトコルをベースとしたプロトコルワークフローであると言えます。 ベライゾンによるSDP ベライゾンによるSDPの適用 SDPの適用 セキュアなクラウド接続のための新しい標準を作る事を目標としています ベライゾンはSDPをベースとした自動化されたフレームワークの展開を行います ベライゾンはすべてのクラウド接続されたIoTデバイスの為にダイナミックなコネクションの作成 を行うトラストブローカーとしてOrchestratorを位置づけます 3 Software Defined Perimeter なぜSDPが必要なのか エンタープライズの保護 • 企業にとってトラディショナルなセ キュアネットワークの境界は変化して います – フィッシング, BYOD, SaaS, IaaS – SDP はどこにでもセキュアネットワーク の境界を再構築可能です • トラディショナルなネットワークは” トラディショナルなネットワークは” 内部の脅威” 内部の脅威”に対して脆弱性です – すべてに対する可視性と接続性 – SDP は”侵入拡大”を阻止できます クラウドの保護 • クラウド上のアプリケーションはセキュ リティ上新たな要件を生み出します – エンタープライズネットワークは再定義さ れる – SDP はパブリックとプライベートドメイン を跨ぐことができます • コスト vs. リスク – 大量に押し寄せるデータは企業の情報と資 産の価値を増加させます – 予算は両者のバランスについてゆくことが 出来ません – SDPは全てを変えます SDPは全てを変えます 利⽤ユーザ目線でのメリット クラウド事業者目線でのメリット 新しいアプローチが必要とされています 4 Software Defined Perimeter SDPの概要 • SDPとは? SDPとは? – 方式: サービスへのアクセスにはあらかじめアポイントが サービスへのアクセスにはあらかじめアポイントが必要 はあらかじめアポイントが必要 • アポイントを取得したリクエスターにのみにゲートウェイのファイアーウォールがオープンするワークフロー アポイントを取得したリクエスターにのみにゲートウェイのファイアーウォールがオープンするワークフロー – 構成要素: スケールアウト可能なクラウドサービスとして実現 スケールアウト可能なクラウドサービスとして実現される2つのコンポーネント として実現される2つのコンポーネント • アポイントを仲介するコンポーネント=「コントローラー アポイントを仲介するコンポーネント=「コントローラー/ /オーケストレーター」 • コントローラーの指示でリクエストを実際に通過させる/ コントローラーの指示でリクエストを実際に通過させる/遮断するコンポーネント=「ゲートウェイ」 – セキュリティ: リクエスターデバイスとユーザーの両方を認証 • デバイス デバイス情報 情報: 情報: デバイス用の証明書 • ユーザー情報: エンタープライズIDP エンタープライズIDPからのフェデレーション情報 IDPからのフェデレーション情報 – 通信の秘匿性: 既存のオープンスタンダードを使用 • • • • リクエスターデバイスからの最初のノック – Single Packet Authorization (SPA) (SPA) リクエスター/ リクエスター /コンポーネント間の通信暗号化 - Mutual Transport Layer Security (mTLS (mTLS) mTLS) アプリケーションサービス保護 、デバイスバリデーションなど SPA, TLS, SAML, PKI, DHE, RSA, AES, SHA, etc. etc. 5 SDP Architecture ワークフロー(アニメーション) PKI Fingerprint Service Software Attestation Location, Time of Day SAML IdP Assertion Groups AD SDP Controller Client Gateway Crypto IP’s Service Requester (Client) SPA Device Geo User Mutual Fingerprint Attestation Get Location Identity Page SPA TLS Browser Apps Software SDP SDP Gateways Single Packet Authorization mTLS Control Channel 1. Device Authentication & Validation 1-1 Single Packet Authorization 1-2 Client-specific pinhole in firewall 1-3 Mutual TLS 1-4 Device Fingerprint 1-5 Software attestation 1-6 Geo Location, Time of Day 2 User Authentication & Authorization 2-1 Secure Browser 2-2 SAML to IdP 2-3 Member of Groups 3 Dynamic Provisioning 3-1 Client-specific crypto artifacts 3-2 Gateway Addresses 3-3 Single Packet Authorization 3-4 Mutual TLS 3-5 Application binding 3-6 Transparent SAML Service Provider (Application on Cloud Service) mTLS Data Channel SDP Enables Your Enterprise to Maintain Strict Access Control 6 Software Defined Perimeter セキュアな発見できないネットワーク "We believe SDP can be a game changer" Bob Flores former CTO of the CIA 7 RSA, CSA Conference - 2014 SDP Activities… ‘Mother of All Hackathons’ The 1st Time One Cloud has Protected all Others Verizon Verizon Internet MPLS Azure IPsec AWS • • • • • • 2014年2月に米国で開かれたRSA会 議で、これらの仕組を紹介してトラ イアルしましたが、どこの国からも アタックされることはありませんで した。また、9月に米国で開かれた CSA会議でも、これらの仕組を試し ました。 3 Clouds 104 Countries 30 Days 100,000 Highly Sophisticated Attacks 11,000,000 Advanced Method Attacks 15 Billion Attacks in all Zero Compromises ! With one SDP Orchestrator and Multiple SDP Gateways in the Cloud, SDP can Protect ALL Resources in Multiple Clouds 8
© Copyright 2024 ExpyDoc
