Tech-3 仮想化/クラウド環境向けのセキュリティ配布用

Palo Alto Networks
仮想化/クラウド環境向け
のセキュリティ
System Engineer
渡辺 征樹
1 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. 仮想化/クラウド環境向けのセキュリティ : 目次
2 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for
: 概要
AWS : Technology Alliance Partner
2014年10月より、VM-­Series for AWSを提供
パブリック クラウド
(IaaS、PaaS)
プライベート クラウド
(SDN、NSX)
3 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. Software as a Service (SaaS)
for
: 最近のトピックス
・ 昨年、APN(Amazon Partner Network)における Palo Alto Networks
の位置づけが Standard から Advanced に昇格
・ AWSのソリューションカタログ(ESP:Ecosystem Solution Pattern)への
VM-­Seriesの掲載が決定
・ セミナー講演 / 出展予定
-­ Palo Alto Networks Day (2016年6月7日) : AWSセッション
-­ AWS Summit Tokyo(2016年6月1日 -­ 3日):Silverスポンサーとして参加
4 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for
: クラウド利用に際しての要望
クラウドも社内と同じ
セリュリティポリシーを適用したい
5 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for
: AWS Security Groupに関して
AWS Security Group(標準Firewall機能)
・ IP Address / Portベースのアクセスリスト(Inbound / Outbound)
・ 許可設定のみ
・ ログ出力されない
6 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for
社内
: 次世代FWの活用
Internet
7 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. 次世代FWの活用
・ アプリケーション識別
・ 既知 / 未知のウィルス対策
・ 脆弱性防御(IPS)/ アンチスパイウェア
・ URLフィルタリング
・ ファイルブロッキング
・ DoS対策
・ アクセスログの取得
・ User識別
・ VPN(Site-­Site / Internet VPN)
for
: 仕様
・ AWS Marketplaceで購入可能
・ EC2インスタンスとして稼働
・ IF動作モード: Layer 3モードのみ (TAP、VWire、L2モードは非対応)
・ HA : Active / Passiveのみ (Active / Activeは非対応)
8 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for
No
: ライセンス体系
製品
サブスクリプション
購入形態
サポート
1
BYOL
・ 購入したもの
・ 販売パートナー
・ 販売パートナー経由
2
Bundle1
・ Threat Prevention
・ AWS Marketplace
・ Palo Alto Networksが
直接サポート(英語)
Bundle2
・ Threat Prevention
・ Wildfire
・ URL Filtering
・ Global Protect
・ AWS Marketplace
・ Palo Alto Networksが
直接サポート(英語)
3
(Bring Your Own License)
9 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for
: 費用感
AWS インスタンス費用
1年間利用した場合 : 約USD 2,000 〜 USD12,000
VM-­Series
ライセンス費用
(BYOL)
+
※ 2016年5月現在の費用
※ 上記に加え、EBS(Elastic Block Store)使用量 / データ転送費用等が加算される
10 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for
: VM-­Seriesパフォーマンス
モデルとスペック
セッション
ルール
セキュリティ
ゾーン
アドレス
オブジェクト
IPSec VPN トンネル
SSL VPN
トンネル
VM-‐‑‒100
50,000
250
10
2,500
25
25
VM-‐‑‒200
100,000
2,000
20
4,000
500
200
VM-‐‑‒300
250,000
5,000
40
10,000
2,000
500
モデル
参考パフォーマンス データ
コア数
ファイアウォール
(+App-‐‑‒ID)
脅威防御
VPN
新規セッション/秒
1 Gbps
600 Mbps
250 Mbps
8,000
4 vCPU
11 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for
: デバイス登録
・ CPU-­ID / UU-­IDをサポートポータルより登録
・ プラットフォーム間でライセンスの付け替えが可能
12 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for
: 基本構成
Internet
社内
VGW
IGW
Data IF
Data IF
Mgt IF
(H1)
Mgt IF
(H1)
H2
H2
ENI
13 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. 【 説明 】
・ VPC : Virtual Private Cloud
・ IGW : Internet GW
・ VGW : VPN Gateway
・ストレージ: 40GBの固定領域
EBS (Elastic Block Store)が必須
・ 8 IFまで利用可能(1個 : Mgt、7個 : Data)
※ HAの場合はData用IFをH2 linkとして利用
・ HAの場合、ENI(elastic network interface)を
利用してGWアドレスを切り替え
ENI
for
: 導入シナリオ1 (公開Serverの保護 : North/South)
Internet
【 構成 】
・ Internet向けの公開Serverの手前にFWを設置
・ ELB(Elastic Load Balancer)を利用し、Trafficを
複数FWに分散 ※ PAN-­OS7.1の新機能
IGW
ELB
Web
Web
Server Seg
Web
提案のポイント
Web
Server Seg
14 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. ・ North / Southのトラフィックを検査
・ IPS機能を用いたServerの保護
・ アクセス / 攻撃元の国情報の把握
・ アプリ / 宛先ごとのアクセス量の把握
・ Serverへの接続トラブルの際のログ確認(トラブルシュート)
・ DoS対策
for
提案のポイント
: 導入シナリオ1 (公開Serverの保護 : North/South)
・ アクセス / 攻撃元の国情報の把握 (脅威マップ / トラフィックマップの活用)
受信 / 送信の選択
対象時間
15 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for
: 導入シナリオ1 (公開Serverの保護 : North/South)
提案のポイント
・アプリ / 宛先ごとのアクセス量の把握 (ネットワークモニタの活用)
アプリ / 宛先の選択
対象時間
16 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for
提案のポイント
: 導入シナリオ1 (公開Serverの保護 : North/South)
・DoS対策
1
IPS機能の活用
IPSシグネチャーのカテゴリとして、「dos」が存在
2
ゾーンプロテクション / DoSプロテクションの活用
フラッティング攻撃やポートスキャンを阻止
17 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for
: 導入シナリオ2 (Serverの保護 : East/West)
社内
Internet
【 構成 】
・ Internet向けの公開Serverの手前にFWを設置
・ 各Subnet間のGWとしてFWを動作させる
提案のポイント
IF
Web
Web
Web Subnet
10.0.1.0/24
IF
DB
DB
DB Subnet
10.0.2.0/24
10.0.0.0/16
18 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. ・ East / Westのトラフィックを検査
・ 管理系通信のアプリケーション制御
・ Web Server / DBのアクセスをアプリケーションで制御
(不正な通信の防止)
・ アクセスしたUserの把握
・ アクセス量(Session / Byte数)の把握
・ Serverへの接続トラブルの際のログ確認(トラブルシュート)
for
: 導入シナリオ2 (Serverの保護 : East/West)
提案のポイント
1
・アクセス制御(App-­ID + User-­ID)
管理系通信の制御 : 管理者のみアクセスを許可し、アクセス履歴(ログ)を残す
・ 以下の組み合わせにより、不正なアクセスを防止
App-­ID : 厳密なTrafficの制御
User-­ID : ユーザを識別
2
+
ログ出力
Server間通信の制御 : 利用が必要な通信のみを許可する
例) Web Server / DB間、SQLのみ許可(telnet / ftp等は通さない)
19 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for
: 導入シナリオ2 (Serverの保護 : East/West)
提案のポイント
・Serverへの接続トラブルの際のログ確認(トラブルシュート)
トラブル時の初期切り分けが可能
・ FWのTraffic Logから、
No
セッション終了理由
詳細
1
tcp-­rst-­from-­client
クライアント側からRSTパケットを送信
2
tcp-­rst-­from-­server サーバ側からRSTパケットを送信
3
tcp-­fin
TCP FINパケットを検出
20 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. TCPセッションが終了した理由を確認
することで原因箇所の絞り込みが可能
→ 迅速な問題解決を手助け
for
: 導入シナリオ3 (Site-­Site VPNの利用)
他社サイト / DC等
【 構成 】
・ 他社サイトやDCと接続する際に、FWをVPN GWとして設置
・ システム間接続や他社システムへのアクセスの際に利用
Internet
VPN
提案のポイント
・ FWをVPN GWとして利用し、VPN接続を制御(ログ出力)
・ アプリケーション制御(必要な通信のみ許可する)
・ アクセスした履歴(ログ)の蓄積
・ アクセス量(Session / Byte数)の把握
・ Serverへの接続トラブルの際のログ確認(トラブルシュート)
Web
Web
Server Seg
21 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for
: 導入シナリオ4 (Internet VPNとしての利用)
【 構成 】
・ Global Protectを用いてInternet VPN基盤を構築
・ AWSの各RegionにFWを設置し、アクセスを分散
Japan
Internet
社内
提案のポイント
US
・ Global Protectの機能により
-­ 社外にいると自動で検出し、VPN接続を開始
-­ 自動で最もNW的に近いGWにアクセス
Europe
VPN
接続
22 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. ・安価で素早く、柔軟性のあるGlobal VPN基盤を構築
for
: 導入シナリオ5 (Internet GWとしての利用)
Internet
【 構成 】
・ Internet GW(社内と社外の間)にFWを設置
・ 社内と社外間の通信を全てFWで検査
Web
Web
提案のポイント
Server Seg
・ 従来型(オンプレ)と同様のInternet GW環境を構築
・ 追加インスタンスの立上げにより、簡易にFWの増設が可能
(トラフィックに応じて、FWを柔軟にスケールアウトすることが可能)
・ 導入シナリオ3と組み合わせることで、外からのアクセスも制御可能
社内
拠点a
拠点b
拠点c
23 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for
: 導入シナリオ6 (Panoramaの活用)
Microsoft Azure
Microsoft
Azure
Internet
【 構成 】
・ Panorama(管理アプライアンス)を設置
提案のポイント
・ 全てのFW(アプライアンス、クラウド、仮想基盤)を
Panoramaで統一的に管理し、セキュアなNWを実現
・ PanoramaにLogを蓄積に、NW全体のTrafficを見える化
・ ポリシー制御をPanoramaから一元的に行い運用稼働を削減
24 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. セキュリティ対策 : 課題
課題
・O365では常時接続型の利利⽤用となるため、通常のインターネット接続と⽐比較し、
セッション数が増⼤大する(1user = 30 session以上 )
・従来のProxy製品を⽤用いてインフラを構築しようとした場合、多⼤大なコストが発⽣生
・従来のオンプレ基盤と⽐比較し、セキュリティコントロールが難しい
+
25 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. APERTURE
セキュリティ対策 : 構成
APERTURE
WILDFIRE
【 構成 】
・ 社内とO365の間に、FWを設置する
・ Apertureを利用し、OneDrive / SharePoint上のファイルの制御を行う
提案のポイント
社内
26 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. ・ Proxy製品を用いた構成より安価に構築が可能
・ アプリケーション識別 + URLフィルタによるTraffic制御
・ コンテンツスキャン(要SSL復号化)の実施
・ Apertureによるファイル制御
セキュリティ対策 : 次世代FWの活用
提案のポイント
・アプリケーション識別 + URLフィルタによるTraffic制御
URLフィルタ (カスタムカテゴリの作成)
MS:Office 365 URLs and IP address ranges
+
※ 出典 : Microsoft Office 365 URLs and IP address ranges
https://support.office.com/en-­us/article/Office-­365-­URLs-­and-­IP-­address-­ranges-­8548a211-­3fe7-­47cb-­abb1-­355ea5aa88a2
27 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. セキュリティ対策 : Apertureの活用
APERTURE
WILDFIRE
28 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. セキュリティ対策 : Aperture利用時のメリット
1 マルウェアの拡散防止
2
重要ファイルやデータの漏洩防止
すべての
ファイルを
公開!
マルウェア感染や
悪意のあるユーザー
外部協力会社
不慮の伝搬
29 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. セキュリティ対策 : Aperture対応 SaaS一覧(2016年5月現在)
追加
30 | ©2016, Palo Alto Networks. Confidential a nd P roprietary.