Palo Alto Networks 仮想化/クラウド環境向け のセキュリティ System Engineer 渡辺 征樹 1 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. 仮想化/クラウド環境向けのセキュリティ : 目次 2 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for : 概要 AWS : Technology Alliance Partner 2014年10月より、VM-Series for AWSを提供 パブリック クラウド (IaaS、PaaS) プライベート クラウド (SDN、NSX) 3 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. Software as a Service (SaaS) for : 最近のトピックス ・ 昨年、APN(Amazon Partner Network)における Palo Alto Networks の位置づけが Standard から Advanced に昇格 ・ AWSのソリューションカタログ(ESP:Ecosystem Solution Pattern)への VM-Seriesの掲載が決定 ・ セミナー講演 / 出展予定 - Palo Alto Networks Day (2016年6月7日) : AWSセッション - AWS Summit Tokyo(2016年6月1日 - 3日):Silverスポンサーとして参加 4 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for : クラウド利用に際しての要望 クラウドも社内と同じ セリュリティポリシーを適用したい 5 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for : AWS Security Groupに関して AWS Security Group(標準Firewall機能) ・ IP Address / Portベースのアクセスリスト(Inbound / Outbound) ・ 許可設定のみ ・ ログ出力されない 6 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for 社内 : 次世代FWの活用 Internet 7 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. 次世代FWの活用 ・ アプリケーション識別 ・ 既知 / 未知のウィルス対策 ・ 脆弱性防御(IPS)/ アンチスパイウェア ・ URLフィルタリング ・ ファイルブロッキング ・ DoS対策 ・ アクセスログの取得 ・ User識別 ・ VPN(Site-Site / Internet VPN) for : 仕様 ・ AWS Marketplaceで購入可能 ・ EC2インスタンスとして稼働 ・ IF動作モード: Layer 3モードのみ (TAP、VWire、L2モードは非対応) ・ HA : Active / Passiveのみ (Active / Activeは非対応) 8 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for No : ライセンス体系 製品 サブスクリプション 購入形態 サポート 1 BYOL ・ 購入したもの ・ 販売パートナー ・ 販売パートナー経由 2 Bundle1 ・ Threat Prevention ・ AWS Marketplace ・ Palo Alto Networksが 直接サポート(英語) Bundle2 ・ Threat Prevention ・ Wildfire ・ URL Filtering ・ Global Protect ・ AWS Marketplace ・ Palo Alto Networksが 直接サポート(英語) 3 (Bring Your Own License) 9 | ©2016, Palo Alto Networks. Confidential a nd Proprietary. for : 費用感 AWS インスタンス費用 1年間利用した場合 : 約USD 2,000 〜 USD12,000 VM-Series ライセンス費用 (BYOL) + ※ 2016年5月現在の費用 ※ 上記に加え、EBS(Elastic Block Store)使用量 / データ転送費用等が加算される 10 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for : VM-Seriesパフォーマンス モデルとスペック セッション ルール セキュリティ ゾーン アドレス オブジェクト IPSec VPN トンネル SSL VPN トンネル VM-‐‑‒100 50,000 250 10 2,500 25 25 VM-‐‑‒200 100,000 2,000 20 4,000 500 200 VM-‐‑‒300 250,000 5,000 40 10,000 2,000 500 モデル 参考パフォーマンス データ コア数 ファイアウォール (+App-‐‑‒ID) 脅威防御 VPN 新規セッション/秒 1 Gbps 600 Mbps 250 Mbps 8,000 4 vCPU 11 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for : デバイス登録 ・ CPU-ID / UU-IDをサポートポータルより登録 ・ プラットフォーム間でライセンスの付け替えが可能 12 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for : 基本構成 Internet 社内 VGW IGW Data IF Data IF Mgt IF (H1) Mgt IF (H1) H2 H2 ENI 13 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. 【 説明 】 ・ VPC : Virtual Private Cloud ・ IGW : Internet GW ・ VGW : VPN Gateway ・ストレージ: 40GBの固定領域 EBS (Elastic Block Store)が必須 ・ 8 IFまで利用可能(1個 : Mgt、7個 : Data) ※ HAの場合はData用IFをH2 linkとして利用 ・ HAの場合、ENI(elastic network interface)を 利用してGWアドレスを切り替え ENI for : 導入シナリオ1 (公開Serverの保護 : North/South) Internet 【 構成 】 ・ Internet向けの公開Serverの手前にFWを設置 ・ ELB(Elastic Load Balancer)を利用し、Trafficを 複数FWに分散 ※ PAN-OS7.1の新機能 IGW ELB Web Web Server Seg Web 提案のポイント Web Server Seg 14 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. ・ North / Southのトラフィックを検査 ・ IPS機能を用いたServerの保護 ・ アクセス / 攻撃元の国情報の把握 ・ アプリ / 宛先ごとのアクセス量の把握 ・ Serverへの接続トラブルの際のログ確認(トラブルシュート) ・ DoS対策 for 提案のポイント : 導入シナリオ1 (公開Serverの保護 : North/South) ・ アクセス / 攻撃元の国情報の把握 (脅威マップ / トラフィックマップの活用) 受信 / 送信の選択 対象時間 15 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for : 導入シナリオ1 (公開Serverの保護 : North/South) 提案のポイント ・アプリ / 宛先ごとのアクセス量の把握 (ネットワークモニタの活用) アプリ / 宛先の選択 対象時間 16 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for 提案のポイント : 導入シナリオ1 (公開Serverの保護 : North/South) ・DoS対策 1 IPS機能の活用 IPSシグネチャーのカテゴリとして、「dos」が存在 2 ゾーンプロテクション / DoSプロテクションの活用 フラッティング攻撃やポートスキャンを阻止 17 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for : 導入シナリオ2 (Serverの保護 : East/West) 社内 Internet 【 構成 】 ・ Internet向けの公開Serverの手前にFWを設置 ・ 各Subnet間のGWとしてFWを動作させる 提案のポイント IF Web Web Web Subnet 10.0.1.0/24 IF DB DB DB Subnet 10.0.2.0/24 10.0.0.0/16 18 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. ・ East / Westのトラフィックを検査 ・ 管理系通信のアプリケーション制御 ・ Web Server / DBのアクセスをアプリケーションで制御 (不正な通信の防止) ・ アクセスしたUserの把握 ・ アクセス量(Session / Byte数)の把握 ・ Serverへの接続トラブルの際のログ確認(トラブルシュート) for : 導入シナリオ2 (Serverの保護 : East/West) 提案のポイント 1 ・アクセス制御(App-ID + User-ID) 管理系通信の制御 : 管理者のみアクセスを許可し、アクセス履歴(ログ)を残す ・ 以下の組み合わせにより、不正なアクセスを防止 App-ID : 厳密なTrafficの制御 User-ID : ユーザを識別 2 + ログ出力 Server間通信の制御 : 利用が必要な通信のみを許可する 例) Web Server / DB間、SQLのみ許可(telnet / ftp等は通さない) 19 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for : 導入シナリオ2 (Serverの保護 : East/West) 提案のポイント ・Serverへの接続トラブルの際のログ確認(トラブルシュート) トラブル時の初期切り分けが可能 ・ FWのTraffic Logから、 No セッション終了理由 詳細 1 tcp-rst-from-client クライアント側からRSTパケットを送信 2 tcp-rst-from-server サーバ側からRSTパケットを送信 3 tcp-fin TCP FINパケットを検出 20 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. TCPセッションが終了した理由を確認 することで原因箇所の絞り込みが可能 → 迅速な問題解決を手助け for : 導入シナリオ3 (Site-Site VPNの利用) 他社サイト / DC等 【 構成 】 ・ 他社サイトやDCと接続する際に、FWをVPN GWとして設置 ・ システム間接続や他社システムへのアクセスの際に利用 Internet VPN 提案のポイント ・ FWをVPN GWとして利用し、VPN接続を制御(ログ出力) ・ アプリケーション制御(必要な通信のみ許可する) ・ アクセスした履歴(ログ)の蓄積 ・ アクセス量(Session / Byte数)の把握 ・ Serverへの接続トラブルの際のログ確認(トラブルシュート) Web Web Server Seg 21 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for : 導入シナリオ4 (Internet VPNとしての利用) 【 構成 】 ・ Global Protectを用いてInternet VPN基盤を構築 ・ AWSの各RegionにFWを設置し、アクセスを分散 Japan Internet 社内 提案のポイント US ・ Global Protectの機能により - 社外にいると自動で検出し、VPN接続を開始 - 自動で最もNW的に近いGWにアクセス Europe VPN 接続 22 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. ・安価で素早く、柔軟性のあるGlobal VPN基盤を構築 for : 導入シナリオ5 (Internet GWとしての利用) Internet 【 構成 】 ・ Internet GW(社内と社外の間)にFWを設置 ・ 社内と社外間の通信を全てFWで検査 Web Web 提案のポイント Server Seg ・ 従来型(オンプレ)と同様のInternet GW環境を構築 ・ 追加インスタンスの立上げにより、簡易にFWの増設が可能 (トラフィックに応じて、FWを柔軟にスケールアウトすることが可能) ・ 導入シナリオ3と組み合わせることで、外からのアクセスも制御可能 社内 拠点a 拠点b 拠点c 23 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. for : 導入シナリオ6 (Panoramaの活用) Microsoft Azure Microsoft Azure Internet 【 構成 】 ・ Panorama(管理アプライアンス)を設置 提案のポイント ・ 全てのFW(アプライアンス、クラウド、仮想基盤)を Panoramaで統一的に管理し、セキュアなNWを実現 ・ PanoramaにLogを蓄積に、NW全体のTrafficを見える化 ・ ポリシー制御をPanoramaから一元的に行い運用稼働を削減 24 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. セキュリティ対策 : 課題 課題 ・O365では常時接続型の利利⽤用となるため、通常のインターネット接続と⽐比較し、 セッション数が増⼤大する(1user = 30 session以上 ) ・従来のProxy製品を⽤用いてインフラを構築しようとした場合、多⼤大なコストが発⽣生 ・従来のオンプレ基盤と⽐比較し、セキュリティコントロールが難しい + 25 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. APERTURE セキュリティ対策 : 構成 APERTURE WILDFIRE 【 構成 】 ・ 社内とO365の間に、FWを設置する ・ Apertureを利用し、OneDrive / SharePoint上のファイルの制御を行う 提案のポイント 社内 26 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. ・ Proxy製品を用いた構成より安価に構築が可能 ・ アプリケーション識別 + URLフィルタによるTraffic制御 ・ コンテンツスキャン(要SSL復号化)の実施 ・ Apertureによるファイル制御 セキュリティ対策 : 次世代FWの活用 提案のポイント ・アプリケーション識別 + URLフィルタによるTraffic制御 URLフィルタ (カスタムカテゴリの作成) MS:Office 365 URLs and IP address ranges + ※ 出典 : Microsoft Office 365 URLs and IP address ranges https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2 27 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. セキュリティ対策 : Apertureの活用 APERTURE WILDFIRE 28 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. セキュリティ対策 : Aperture利用時のメリット 1 マルウェアの拡散防止 2 重要ファイルやデータの漏洩防止 すべての ファイルを 公開! マルウェア感染や 悪意のあるユーザー 外部協力会社 不慮の伝搬 29 | ©2016, Palo Alto Networks. Confidential a nd P roprietary. セキュリティ対策 : Aperture対応 SaaS一覧(2016年5月現在) 追加 30 | ©2016, Palo Alto Networks. Confidential a nd P roprietary.
© Copyright 2025 ExpyDoc