Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Webinar - Cyber Security basics in Japanese

クラウドフレアはより良いインターネットの構築をミッションとした、ウェブパフォーマンス及びセキュリティのリーディングカンパニーです。
現在、クラウドフレアでは約2,000万以上のWebサイト、API、SaaSサービスなどの高速化サービスおよび様々な脅威な攻撃をネットワークのエッジで防御を行っています。クラウドフレアのネットワークでは毎月10兆件以上のインターネットリクエストが送信され、その数は全世界28億人以上のインターネットリクエストのほぼ10%を占めています。このセッションでは、世界最大規模のネットワークを運用するクラウドフレアだからこそ可能な、パフォーマンスに影響ないDDoS攻撃防御、アプリケーションセキュリティ、ゼロトラスト・セキュリティをご紹介いたします。

  • Login to see the comments

Webinar - Cyber Security basics in Japanese

  1. 1. 2020年に向けたセキュリティ対策はお済みですか? Nov 2019
  2. 2. Agenda 2 ● クラウドフレアのサービス概要 ● セキュリティ導入事例 ● DDoS攻撃及び対策 ● 多重セキュリティによるレイヤ7攻撃の対策 ● ダッシュボードデモ ● Q&Aセッション
  3. 3. We are building a Global Cloud Network to help the Internet be faster, more secure, and more reliable. インターネットをもっと速く、もっとセキュアに、そしてもっと安 心して 利用するためのグローバルクラウドネットワークを構築中。
  4. 4. 194 Cities 90+ Countries 8,000 Interconnects 99% Of the Internet-connected developed world population is located within 100 milliseconds of our network Note: Data as of June 28, 2019. 4 Global Cloud Network
  5. 5. “Network Edge” as a service
  6. 6. BETTER INTERNETBAND-AID BOXES ● 簡単設定、フレキシブル、スケーラブ ル ● 統合管理コンソール ● サーバレスクラウドアーキテクチャ ● クラウド、ハイブリッド、オンプレミ ス、SaaSアプリケーション ● 広範な機能を統合化したプラットフォ ーム ● 高価、複雑 ● 特定のウェブ機能に依存 ● 専用のハードウェア ● オンプレミス専用 ● 一時的ソリューション Global Cloud Platform Next-Gen Infrastructure エンドレスに続くハードウェアへの投資から解放! 6
  7. 7. Multi-Cloud made simple 定額料金可用性 パフォーマン ス セキュリティ インテリジェン ト ネットワーク On Premise/Other エンドユーザー環境
  8. 8. 20M+ Internet properties ~10% Fortune 1000 are paying customers 1B+ Unique IP addresses pass through Cloudflare’s network every day Protecting & accelerating Internet applications across verticals Confidential. Copyright © Cloudflare, Inc.
  9. 9. 9 Domain Name System (DNS) DNS Resolver Always Online Firewall Bot Management DDos Protection Zero Trust Security AnalyticsCloudflare AppsEdge Compute PERFORMANCESECURITY RELIABILITY PLATFORM IoT Security SSL/TLS Secure Origin Connection Rate Limiting Cache Intelligent Routing Content Optimization Mobile Optimization Image Optimization Mobile SDK Load Balancing Anycast Network Virtual Backbone
  10. 10. 全インターネットユーザーのためのクラウドネットワーク基盤 を提供!
  11. 11. ScaleCustomers. Compute. Connectivity. Data.
  12. 12. スケールによるDDoS攻撃への対峙と有効性の根拠 ネットワークスケール: 地球上のインターネットユーザーがいる領域全体に対してデータセンターを構築し続けており、全イ ンターネットユーザーに最も近い地点で、10ms以下で通信できる全サービス基盤を配置しています。 これは全インターネット上の攻撃者にも一番近い地点という意味にもなり、大規模な分散型攻撃に対 しても有効な攻撃緩和基盤として機能します。 データスケール 既存顧客2000万以上のドメインに対して発生する、月間1.3兆回を超える攻撃をWAFでブロックして います。当社は、ここで得られる攻撃者情報をリアルタイムに解析、脅威度のスコアリングを実施、 IPレピュテーションテーブルの更新、WAFルールへの適用などをバックエンドで実施しています。
  13. 13. ネットワークエッジ市場での圧倒的なシェア Cloudflare Fastly Others AWS 79.4% 5.9% 4% 10.7 %
  14. 14. パブリック IX (Internet Exchange) との高い接続性 Source: Hurricane Electric Inc
  15. 15. 固定料金サービス ● 隠れたコストは一切なし。 プロフェッショナルサービ スとしての課金はなし。 Traffic/Bandwidth Time 固定料金 ● トラフィックのスパイクによる 予期せぬコストからの解放 ● 正常及び攻撃トラフィックが発 生した場合でも固定料金でご請 求いたします。
  16. 16. DNS DDoS FirewallTLS CDNRate Limiting WAF Argo ワールドワイドで約10%のHTTPインター ネットトラフィックと39%のDNSクエリ処 理。 194+箇所のデータセンターで 30TB+のキャパシティを提供。 Cloudflare Datacenter • 簡単導入と設定。 • 予測可能な固定料金。 • 全インターネットユーザー向けにサービスプランを提供 。 • 巨大グローバルネットワークとスケール。 • パフォーマンス & セキュリティの統合ソリュー ション。 • ネットワーク脅威データのインテリジェンス。 Origin Server 2,000万+の顧客基盤と月間1兆5,000億 PVを支えるトラフィックのルー ティング。 最後に・・・ここが凄い!!
  17. 17. Security
  18. 18. Cloudflareのグローバル ネットワーク 攻撃者 訪問者 ボット マルチ クラウド オンプレミス ハイブリット クラウド SaaS Confidential. Copyright © Cloudflare, Inc. Cloudflareのアーキテクチャ
  19. 19. クラウドフレアが導入されていない場合 オリジンサーバーは訪問者と攻撃者にさら されている状態となっています Origin ServerVisit/User 1.2.3.4 クラウドフレアが導入されている場合 全てのリクエストはエニキャストDNSで プロキシされ最寄りのデータサーバー経 由でオリジンサーバーに到達します Origin ServerVisit/User 104.x.x.x Nearest Cloudflare Data center 1.2.3.4 Confidential. Copyright © Cloudflare, Inc. DNS変更でWeb高速化及びセキュアなソリューション
  20. 20. ● 初期設定はすぐに設定完了 可能 ● 既存のホスティングプロバ イダーの維持 ● アプリ側の変更は不要 ● 変更管理はダッシュボード 、API及びTerraform ● 新しい設定変更は全てのPoP に瞬間に適用 簡単導入及び設定 Confidential. Copyright © Cloudflare, Inc.
  21. 21. セキュリティ パフォーマンス DDoS攻撃 攻撃トラフィックにより可用性やパフォ ーマンスが低下し、インフラストラクチ ャ費用の想定外の急騰が発生 データの盗難 攻撃者が、ユーザーの資格情報、クレジ ットカード情報、その他PIIといった顧 客データを侵害 悪意のあるボット 悪意のあるボットがコンテンツスクレイピ ング、アカウントの乗っ取り、決済詐欺に よってお客様のアプリケーションを乱用 利用できないアプリケーション インフラストラクチャの高負荷や利用不可状態 により、ユーザーがアプリケーションにアクセ スできなくなります 低速インターネットアプリケ ーションおよびAPI ページが重かったり、配信元から遠い距離で 読み込むため、Webページ、アプリケーショ ン、APIが低速に 低速のモバイルサイトやアプリ モバイルクライアントによってパフォーマンス やコンテンツ配信が制約を受け、ユーザー体験 が損なわれます お客様の課題とニーズ
  22. 22. セキュリティ脅威の例 1 - DDoS 攻撃 2 - Web application 攻撃 3 - Bots
  23. 23. Rate Limiting SSL L3/4 DDoS 保護 ` セキュリティサービス一覧 Request Passed! Bot マネージメント WAFDNS/DNSSEC Argo トンネル 23 Orbit Spectrum EXTEND WorkersAccess CONTROL 23 L7 DDoS 保護 2-5 ms TCP/UDPIoT Client TLS VPN Replacement Custom Logic
  24. 24. DDoS 攻撃 は交通渋滞 のよう
  25. 25. Volumetric DNS Flood攻撃 Bots DNS Server DNS Server Server アンプリフィケーション 攻撃 (レイヤー 3 & 4) HTTP GET/POST Flood攻撃 (レイヤー 7) 1 2 Bots 3 Bots Degrades availability and performance of applications, websites, and APIs HTTP Application Application/Login DDoS攻撃の種類
  26. 26. DDoS攻撃例: Telegram (2019/06) Source: https://twitter.com/durov/status/1138942773430804480
  27. 27. The Daily DDoS: 感謝祭に起こった10日間に も及んだ非常に大きな DDoS攻撃 8時間以上継続的な攻撃 480+ Gbps Size 200 Mpps お客様の被害 • 8-24時間 毎日継続し攻撃を受ける • 広範囲に渡る TCPへのDDoS攻撃 • 集中的に攻撃を受け続ける CLOUDFLARE のソリューション • クラウドフレア のシステム上で全攻撃に対して自動的に排除し続けた 攻撃の統計値 攻撃は約8時間ほど続き、ピーク時には200Mpps と 480Gps以上にも及んだ 3日目 Attack traffic in gigabytes per second 10日間に渡る継続的な攻撃 攻撃の推移(単位: Mpps) ユースケース例: サンクスギヴィングデー(感謝祭)攻撃
  28. 28. 近年のDDoS攻撃の傾向 DDOS攻撃の高度化: レイヤ−7に対して攻撃が高度化が増加して、 既存DDOS保護の方法ではバイパスされ、 有効ではないのも確認されています。
  29. 29. DDoS攻撃防御ソリューション スケーラブル、簡単に導入可能、可用性に優れたハイパフォーマンスなソリューション 攻撃の規模に関わらず、課金計測なしの無制限でDDoS攻撃からの保護を提供します。 オンラインの維持 193拠点以上のデータセンタ ーとグローバルエニーキャス トネットワークにより、高度 に分散されたDDoS攻撃のト ラフィックを吸収し顧客サイ トの継続稼働を支援。 オリジンインフラストラクチ ャーの保護 エッジでのボリューメトリック攻 撃をL3,4,7で検出し遮断。 異常なトラフィックを特定 HTTPリクエストからフィンガープ リントを採取して、自動緩和ルー ルを使用し既知のボットネットや 新たに出現したボットネットから サイトを保護。 コントロールによる アプリケーションを保護 Rate Limitingのきめ細やかな コントロールによって、検出の 難しいアプリケーション層の攻 撃をブロック。 Origin Server DDoS attack 攻撃の予測 2,000万のウェブサイトで共 有している情報により、き ちの不正なシグネチャを事 前にブロック。 オリジンサーバーへの攻撃防 御 Argo トンネルがPop-オリジン間 をTLSで暗号化して通信を行い、 攻撃者からのアタックを防ぎます 。
  30. 30. Under Attack Mode
  31. 31. アプリケーション及びAPIの脆弱性 Fake Website Visitors 1DNS Spoofing Malicious Payload eg: SQLi that ex-filtrates PII and credentials 3 Attacker Bots Brute Force 4 Data Snooping 2
  32. 32. 多重防御によるDDoS攻撃緩和の一覧 35 自動化 個別設定が可能 レイヤー 7 Advanced DDoS (L7) Rate Limiting –Volume based WAF – Signature based レイヤー 3/4 Advanced DDoS (SYN / ACK) IP Reputation / Security Level IP Firewall DNS Advanced DDoS (DNS) Virtual DNS Rate Limits
  33. 33. 36 共有されたインテリジェンス、自動アップデート、WAFルールの伝搬は15秒以内に完了 Automatic WAF Updates • Cloudflareのセキュリティエンジニアは、2,000 万ユーザーの大部分に新しい脅威が該当すると 判断した場合、WAFルールを自動で適用します 。 Collective Intelligence • Cloudflareは毎秒600万件のリクエストを監視し ており、WAFは潜在的な脅威を継続的に特定し ブロックしています。 Built for Performance • CloudflareのWAFルールセットの遅延は1ms以内 です。ルールセットの更新をグローバルで15秒以 下で完了。 新しいカスタムWAFルー ルが設定・変更されると 、15秒以下で世界中の PoPで有効になります。 クラウドフレアネットワーク上の 全ドメイン名が保護される WAFのインテリジェンス
  34. 34. OWASP ModSecurity ル ールセット Cloudflare WAF ルールセット カスタム WAF ルールセット ● Joomla, Drupal, Wordpressなど 一般的なコンテントを保護 ● XSS, SQLi, LFI, DDoS, RCE, spam に対しても対応 ● 新しいゼロデイ攻撃の脆弱性に 対して即日にルールセット可能 ● “オン/オフ”設定のみで ルール適応可能 ● 全てのルールに対し細かな 調整をしながらスコアリン グ ● SQLインジェクションとク ロスサイトスクリプティン グの脆弱性に集中した対応 ● OWASPは米国に本部を持つ 非営利でオープンな組織 ● ログや詳細な記述を参考にしに ユーザごとに特別なルールを作 成 ● サポートリクエストが必須 ● ユーザーエージェント, URL, リ ファラー, クライアントIP, 国別 など、個別に対応 ● ビジネスプランとエンタープラ イズプランのみに対応 Cloudflare WAF ルール一覧
  35. 35. ゼロデイ脆弱性の対応例 1. Microsoft SharePointの脆弱性 CVE-2019-0604 (2019年5月) 2. TCP SACK PANIC - Linuxカーネルパニック脆弱性(2019年6月) 3. Drupalの脆弱性SA-CORE-2019-003 (2019年3月)
  36. 36. ダッシュボードデモ (WAF, FW, Analytics)
  37. 37. Cloudflare Botマネージメント 悪いボットの検知及び検査は2,000万ドメインのインテリ ジェンスを使用して、ワンクリックで設定可能
  38. 38. Cloudflare Botマネージメントの違い 41 透明性及び 管理 簡単な導入及び運用 お客様側でBotマネージメントの設定及び 運用状況の確認可能 ● Bot マネージメントのルール設定はFirwallル ールから柔軟な細かい操作で設定可能 ● Javascript、 ユーザーの振る舞い分析 又は 機械学習のルールが一致した場合、 ダッシ ュボードのアナリティクス画面やログで確 認可能 ● お客様側で全てのルールに対して定義可能 及び他のセキュリティ機能と組み合わせ可 能。 ノンブロッキングモード、Captchaモ ードや ブロッキングモードの運用又は Rate LimitやWAFなどと組み合わせて適用可能。 お客様は複雑な設定を行わなくても、こちらのソ リューションを簡単に導入可能。 ● Javascriptのエージェントを必要なく、 ワンクリックでお客様のWebアプリケーショ ン、APIやWebサイトの保護が可能 ● こちらのソリューションでWebスクレイピン グ、クレデンシャルスタッフィング、スパム ボット、不正な購入やクレジットカードの不 正利用から保護可能。 スマートデータ Cloudflare Bot マネージメントは毎日2,000万以 上のサイトの保護にあたり、兆を超えるトラフィ ックのリクエストのスコアリングや検知を行って いる。 ● 機械学習で日々2億以上のリクエストから脅 威な情報の学習やスコアリングを行い、高度 なBot攻撃にも対応可能 ● データセットには237 カ国から平均 3百万 以上の Captchasチャレンジでブロックを行 っています ● 1つのWebサイトで確認出来た脅威の情報は 即時にグローバルのお客様のサイトに対して 適用可能。
  39. 39. ユースケース例 不正入手したパスワー ドを使用して、自動 ログインにより機密情 報の悪用. Webサイトに公 開されてる情報 の取得 掲示板や記入フォ ームに攻撃 ペイ ロードの投稿 クレデンシャル・ スタッフィング Webスクレイピング スパムボット ユーザーのアカウン トを利用して不正購 入又はグッズを 高額転売 不正な高額転売や 購入 クレジットカー ドの不正利用 ギフトカードの不 正入手や クレ ジットカードなど の不正利用
  40. 40. 脅威データーの インテリジェンス ネットワークスケール クラウドフレアの優位性 簡単導入及び設定パフォーマンス及びセキュリティの 統合ソリューション DEVELOPERフレンドリー マルチクラウドの対応 Confidential. Copyright © Cloudflare, Inc.
  41. 41. 44 Thank you!

×