アラクサラ最新ソリューションのご紹介 得意な認証+新機能ホワイトリスト、VXLAN で実現する無線ネットワーク 2015年10月28日 NTTアドバンステクノロジ株式会社 グローバルプロダクツ事業本部 Copyright© 2015 NTT Advanced Technology Corporation 目次 1. ALAXALA×4ipnet連携ソリューションのご紹介 2. AlaxalAスイッチの強み 3. クラウド時代に最適なネットワーク仮想化ソリューション ~VXLAN 機能の紹介~ 4. 制御システム向けセキュリティ~「ホワイトリスト」のご紹介~ 付録 1. NTT-ATの強み Copyright© 2015 NTT Advanced Technology Corporation 2 ALAXALA×4ipnet 連携ソリューションとは 有線(ALAXALA)と無線(4ipnet)を組み合わせることで 低コストかつ高セキュリティの無線ネットワークを構築 中・大規模NWに最適!! Copyright© 2015 NTT Advanced Technology Corporation 3 AlaxalAスイッチは認証に強い 802.1X 認証 ●トリプル認証 3つの認証方式をサポート さまざまなOSや端末が混在する環境に対応 ●マルチステップ認証 MAC 認証 Web 認証 複数の認証方式を組合せる事で、不正端 末排除とユーザ認証を同時に実施 (MAC + Web、802.1x + Web) ✔ なりすまし対策 プラス ダイナミック QoS ダイナミック ACL ✔ 設定稼働削減対策 Copyright© 2015 NTT Advanced Technology Corporation 4 冗長性・信頼性と高い認証性能 早い認証処理速度と多い同時認証端末数 SSL2048bitの性能 AX2530S Web認証 スピード 最大同時 認証端末数 8台/秒 256 SSL2048bitは高い処理性能が必要!! 今後、Web認証はSSL2048bitがスタンダードに 最大同時認証端末数 Web認証スピード 同時に接続要求があった場合 失敗しないで認証できる端末数 1秒あたりの認証処理性能 速い AX2530S 多い 他社 他社 ※AX2530Sと同等のA社装置を、AlaxalA社内にて測定した結果です。 したがって,全ての条件下で結果を保証するものではありません。 Copyright© 2015 NTT Advanced Technology Corporation 5 運用管理稼働の削減が可能 1SSIDでネットワークを分離 マルチベンダ間の既存認証系を統合 機器の更改やレイアウト変更の手間を省き、運用 管理稼働を削減 認証サーバ A社 認証サーバ B社 認証サーバ C社 認証サーバ SSIDの削減、運用管理を簡易化 A network B network C network 認証ポイント D A B C SSID D A社AP B社AP C社AP SSID A B C VLAN 100 200 300 VLAN 100 200 300 ユーザは従来と同様の ID/PASSで利用可能 Copyright© 2015 NTT Advanced Technology Corporation 6 安価な高性能無線LAN構成(自治体構成例) Copyright© 2015 NTT Advanced Technology Corporation 7 クラウド時代に最適な ネットワーク仮想化ソリューション ~VXLAN 機能の紹介~ 【ターゲット】 データセンター間ネットワーク 自治体・官公庁 企業のプライベートクラウド間接続 情報ハイウェイの VPN サービス データセンター事業者 中央官庁の有する全国情報通信NW コミュニティクラウド 企業 社会インフラ 電力・道路・鉄道などの広域網 複数のグループ企業を統合したNW Copyright© 2015 NTT Advanced Technology Corporation 8 クラウド時代の「ネットワーク仮想化」の課題 サーバ仮想化との親和性が高い、 新たなネットワーク仮想化技術が求められている ①L3ネットワーク越え 【マルチキャリア】 仮想サーバのロケによらず、常に同一のIPアドレスでアクセスしたい ②多拠点への対応 【マルチポイント】 【拠点B】 L2NW DC(クラウド)と拠点(オンプレミス)のNWを共通管理したい ③論理分割(数千~数万) 【マルチテナント】 仮想サーバ 仮想サーバの多重度の増加により、VLANでの ネットワーク仮想化(最大4K)がボトルネック 【拠点C】 L2NW 【拠点A】 L2NW 仮想サーバ 仮想サーバ Copyright© 2015 NTT Advanced Technology Corporation 9 VXLAN により広域仮想ネットワークを構築 既存ネットワークを活かしながら複数拠点間の L2 延伸が可能 Ethernet フレーム L2NW IP ヘッダ L2NW Ethernet フレーム VXLANトンネル VXLAN GW ・・・ カプセリング 拠点2 Ethernet フレーム L2NW VXLAN GW L3ネットワーク L2NW VXLAN フォーマット L2NW ・・・ デカプセリング 拠点1 L2NW トンネル IPヘッダ トンネル UDPヘッダ VXLAN ヘッダ VNI トンネル用ヘッダ Ethernet ヘッダ Ethernet ペイロード テナント用ユーザデータ 解決1 L3ネットワーク越え 標準 IP ヘッダでカプセル化するので、L3ネットワークを通過できる 解決2 多拠点対応 MAC 学習結果を IP トンネルに対応付けるので、L2多拠点接続が可能 VXLAN 未対応の既存 環境でも、 L2 VPN を 簡単に構築できる 解決3 論理分割 1,600万の論理分割が可能 ※ VNI(VXLAN Network Identifier):論理ネットワーク(テナント)を識別する24ビットのIDで、最大1677万の L2 ネットワークを作成可能 Copyright© 2015 NTT Advanced Technology Corporation 10 広域仮想ネットワークソリューション 複数の拠点間を結ぶ L2 ネットワークを構築することで、 仮想マシンの自由自在な移動が可能な VPN を提供可能 拠点間の自由な仮想リソース移動が可能な、L2 フラットな広域仮想ネットワーク!! 【リソースの最適化/投資効率の向上】 リソース不足時は他拠点からの融通が可能 ユーザ1 (L2NW) ユーザ2 (L2NW) ユーザ2 (L2NW) ユーザ3 (L2NW) 【事業継続計画(BCP)/災害対策(DR)】 ある拠点が災害等に見舞われてもサービス継続 拠点B 拠点A ユーザ1 (L2NW) AX4600S AX4600S 仮想マシンは 別拠点へ移動可能 拠点D 拠点C 地域イントラや 情報ハイウェイ AX4600S ユーザ3 (L2NW) ユーザ1 (L2NW) AX4600S Copyright© 2015 NTT Advanced Technology Corporation 032-315(R1.0) 11 自治体情報システム統合ソリューション ネットワーク・パーティションでセキュアな統合システムを構築しつつ、 一部の仮想ネットワークは L2 フラットな運用が可能 庁舎内/庁舎間にまたがる仮想ネットワークを自由に構築可能!! 支所A 本庁舎 住民情報系サーバ 行政情報系サーバ 住 行 出先機関 住 行 支所B 住 行 住民情報系、行政情報系などの 統合はネットワーク・パーティションで実現 出先機関 住 AX4600S 支所C 行 住 行 コアスイッチ(L3) 出先機関 L2ネットワークを オーバーレイで構築 支所D 住 行 ・・・ 出先機関 ・・・ フロアスイッチ(L2) AX4600S Copyright© 2015 NTT Advanced Technology Corporation 032-316(R1.0) 12 国の重要インフラ13分野 ① 情報通信 ④ 鉄道 ⑧ 医療 ② 金融(銀行/保険/証券) ⑤ 電力 ⑥ ガス ⑨ 水道 ⑩ 物流 Copyright© 2015 NTT Advanced Technology Corporation ③ 航空 ⑦ 政府・行政 13 制御ネットワークの課題と脅威 セキュリティ対策は殆ど意識されていないケースが多いが、サイバー 攻撃の増加・巧妙化対策としてセキュリティ対策が不可欠! 制御システム 制継続稼働重視! 情報システム 処理能力、気密性重視! 制御システムに対する脅威(主な侵入経路) USBポート/リモートメンテナンス回線/無線LAN/ネットワークスイッチ 米国自動車工場で生産停止 損害額 約17億 米国病院システムのハッキング 個人情報 の流出 Copyright© 2015 NTT Advanced Technology Corporation 14 アラクサラを使った対策 CSSC との共同研究を経て開発/評価を行った、 ホワイトリストを「自動生成」する機能が有効な対策になる L2BOXスイッチ 業界初 (※) AX2500S レイヤ2フロアスイッチに ホワイトリスト機能を実装 ※ (2015年5月 弊社調べ) 特長1 ネットワークスイッチのコンフィグ等の知識が不要 ホワイトリストは自動生成 特長2 シンプルで簡単な セキュリティ対策 長期間更新されないネットワークに最適 ホワイトリストのメンテナンスが不要 特長3 既存スイッチの置き換えが可能 ホワイトリスト以外のスイッチ機能も標準搭載 Copyright© 2015 NTT Advanced Technology Corporation 15 ホワイトリスト機能の動作 ホワイトリストで内部不正もシャットアウト!! 登録モード 運用モード 一定期間は普通のスイッチとして動作し、 通過するパケットを自動学習 モード切替後は、未学習のフローに対して 廃棄/通知 or 通知のみを選択 センター 不正サーバ センター 学習完了後 モード切替 自動登録 自動登録 登録外外部通信 自動登録 登録外内部通信 AX2500S ・・・ ・・・ ・・・ ・・・ ・・・ S-IP D-IP VLAN ポート S-MAC D-MAC S-IP D-IP VLAN D IP-A IP-D 3 0/5 A D IP-A IP-D 3 0/5 B E IP-B IP-E 1 0/23 B E IP-B IP-E 1 0/23 C F IP-C IP-F 100 0/21 … D-MAC A … S-MAC … ・・・ Copyright© 2015 NTT Advanced Technology Corporation ポート 16 ホワイトリスト適用時の検知 デモ展示中 運用期間時の動作選択 ホワイトリスト外フローは廃棄または通過 フローの確認方法 (①と②の併用も可能) ①フロー受信時にログ出力 ②リスト外フローをミラー出力 ログ出力 制御 ネットワーク ■ログ出力要因 - 登録/登録外パケット受信 ■送信元・宛先情報 - MAC address(source / destination) - IP address(source / destination) - TCP/UDP Port(source / destination) syslogサーバ OR ミラー出力 キャプチャー端末(Wireshark等) Copyright© 2015 NTT Advanced Technology Corporation 17 物流ネットワークソリューション 倉庫内における無線LANの課題 課題①在庫管理などで利用するタブレット端末など脆弱な無線LANを狙った攻撃 課題②攻撃者が正規端末を直接操作し製造ラインの停止 課題③攻撃者の持つ外部サーバ等への情報配信による機密情報の漏えい センター 不正サーバ 解決① 解決③ 通常通信のない 外部サーバなどへの 通信は廃棄 無線端末であっても、 スイッチを経由する事で ホワイトリスト化が可能 解決② 正規端末間でも 登録外なら廃棄 タブレット (在庫管理) Webカメラ 管理PC Copyright© 2015 NTT Advanced Technology Corporation 18 病院内ネットワークソリューション 病院内における無線LANの課題 課題①タブレット端末を使った顧客のカルテ情報など某弱な無線LANを狙った攻撃 課題②攻撃者が正規端末を直接操作し個人情報を取得 課題③攻撃者の持つ外部サーバ等への個人情報配信よる機密情報の漏えい センター 不正サーバ 解決③ 通常通信のない 外部サーバなどへの 通信は廃棄 解決① 無線端末であっても、 スイッチを経由する事で ホワイトリスト化が可能 解決② 正規端末間でも 登録外なら廃棄 患者見守り 端末 タブレット (カルテ) 監視カメラ 管理PC Copyright© 2015 NTT Advanced Technology Corporation 19 付録 NTT-ATの強み Copyright© 2015 NTT Advanced Technology Corporation 20 NTT-AT独自ソリューション 4ipnetとALAXALA連携案件はNTT-AT専用特価でのご提供可能! Copyright© 2015 NTT Advanced Technology Corporation 21 AlaxalA × NTT-AT NTT-ATはアラクサラネットワークス社の一次パートナーとして AXシリーズ製品を高いサービスとサポートで提供しております!! NTT-AT お客様 NTTグループ唯一のパートナー 2006年より販売・テクニカル パートナーです アラクサラ認定資格取得者:9名 こんなネットワークが作りたい コンサルティング とりあえず装置がほしい 機器提供 機器の設定・構築ができない 設定・構築 運用は大変だから 運用 24時間365日の保守体制 技術支援 まとめてめんどうを見てほしい 機器保守 ネットワークサービス トータルソリューション Copyright© 2015 NTT Advanced Technology Corporation ネットワークマネージメント 22 AXシリーズの保守サポート お客様の要望にかなう保守サポートをご提供いたします!! ①受付時間 ②保守サポート 平日9時~17時 or 24時間365日 デリバリー保守 or オンサイト保守 平日9時~17時受付から24時間365日受付まで 不具合・障害発生時は専門SEによる障害解析支援 代替機の翌日、4時間、2時間配送での対応 専門SEによる現地対応での故障機器の交換 ソフトウェアリリース情報のメールニュース配信 最新版ソフトウェアの提供 標準サポート期間:製品出荷後6年間 ※保守の詳細内容に関しては、別途ご相談とさせていただきます。 Copyright© 2015 NTT Advanced Technology Corporation 23 技術をお客様のお役に立つ多様な価値に変換して提供する “ Integrated-Value Provider ” NTT-ATはアラクサラネットワークス社 の正規販売パートナーです。 お問合せ先 NTTアドバンステクノロジ アラクサラ担当:山田、川崎、中嶋 TEL:044-589-6928 Email:[email protected] Copyright© 2015 NTT Advanced Technology Corporation 24
© Copyright 2024 ExpyDoc
