【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス

Copyright 2020 FUJITSU LIMITED
Tunaclo API Connect で実現する
次世代のクラウド間アクセス
(Day2) 09/09
14:00-14:40 - Track A
古澤慧、井浦陽一郎
富士通株式会社

Who I am
◼ 名前：古澤慧（Furusawa Kei）
◼ 職務：Marketing Engineer
◼ 経歴：SDN関連製品の企画・開発、もとはネットワーク屋
◼ 最近の興味：ゼロトラストネットワーク
Software Design誌にてゼロトラスト
について8～10月号で短期連載中！
是非、ご覧になってください
1

ハイブリッド/マルチクラウド利用の課題はセキュリティ
63％
The top challenges for multi-cloud: Ensuring security
across all clouds, networks, applications and data.
https://www.a10networks.com/news/press-releases/companies-struggling-to-optimize-manage-protect-multi-cloud-compute-infrastructures/
2

近年のセキュリティ事故に見る深刻な２大リスク
クラウドの
設定ミス
ラテラル
ムーブメント
3

セキュリティ事故の99%はユーザーの設定ミス
◼ Gartnerの調査によると、クラウドサービスのプロバイダーにおいてセキュリティ
事故が発生したケースは少なく、サービス損失も限定的な場合が多い
◼ 深刻化しているのはユーザーの設定ミスに起因したセキュリティ事故であり、
更に同社は、『2025年までに起きるクラウド関連のセキュリティ事故の
99％はユーザの設定ミスに起因する』と予測
Through 2025, 99% of cloud security failures will be
the customer’s fault.
https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/
4

事例：米Capital One社のセキュリティ事故
◼ WAFの設定ミスに起因してSSRF脆弱性を攻撃される
◼ S3 bucketに保存されていた1億件超の個人情報が漏洩
Source: https://www.foxbusiness.com/financials/capital-one-customers-exposed-hack-100m-bank-accounts
Capital One クラウド環境
WAF
EC2インスタンス（S3アクセスが可能）
S3 bucket
（個人情報が保存）
2. IAMロール権限を
不正に入手
1億件超の個人情報
が流出！
3. 入手したIAMロール
権限でS3にアクセス
攻撃者
1. WAFの設定ミスを
突いてSSRF攻撃
5

近年のセキュリティ事故に見る深刻な２大リスク
クラウドの
設定ミス
ラテラル
ムーブメント
6

◼ 防御の弱い部分から侵入し横移動を繰り返して組織内部に入り込む攻撃
◼ 内部からの攻撃には脆弱かつ検知も難しいことが多く被害が深刻化しやすい
近年のセキュリティ脅威：ラテラルムーブメント
パートナー企業向け
ネットワーク
海外拠点ネットワーク
本社WAN 機密情報エリア
攻撃者
ラテラルムーブメント（横移動）による侵入拡大
重要資産
7

事例：米Target社のセキュリティ事故
◼ 請求管理システムのアクセスに利用していたVPNログイン情報が盗まれる
◼ 攻撃者にネットワーク内に侵入され顧客情報が漏洩
空調業者
（パートナー）
店舗POS
店舗POS
店舗POS
ベンダーネットワーク Target社WAN
Source: https://www.cbc.ca/news/business/target-cio-resigns-as-security-revamped-over-data-breach-1.2561648
VPN
2. Lateral Movement
を繰り返し内部に侵入
3. POSにマルウェアを
仕掛けクレカ情報を収集
1. マルウェア感染させ
VPNログイン情報入手
4,000万件のクレカ
情報が流出！
攻撃者
請求管理
システム
8

IPA：情報セキュリティ10大脅威 2020
https://www.ipa.go.jp/security/vuln/10threats2020.html
業務委託先組織が攻撃され、
預けていた個人情報が漏えい
する等の被害が発生
9

どうすればセキュリティリスクを低減しつつ
クラウドや拠点間を連携させられるか？
10

Tunaclo API Connect とは？
✓ インターネット経由でユーザのWeb UI/APIを安全につなぐ
Cloud Native 時代の接続サービス
（つながるクラウド → Tunagaru cloud → つなくろ）
✓ Tunaclo AC を利用すれば２大セキュリティリスクを排除できます
➢ インターネットから攻撃を受けない
➢ ラテラルムーブメントを防止

Tunaclo API Connect 構成概要
① お客様管理者はポータル（またはCLI）を通じてアクセスを管理
② 利用にはお客様環境にAgent設置が必要
お客様サイト #Bお客様サイト #A
富士通が運用管理（クラウド上）
Tunaclo
Portal
Front Agent
Client
Back Agent
Web
アプリ
Tunaclo
Router
Virtual URL Service URL
Internet Internet
①
② ②
注）Tunaclo ACの通信性能はご利用のインターネット環境に準じます
13

お客様サイト #Bお客様サイト #A
◼ インターネットへの接続環境さえあれば10分でつながる
◼ 多くの場合で、インフラやアプリケーションへの変更なしに導入できます
◼ Agentのインストールと簡単な設定のみで、リモートのWebアプリへアクセス可能です
Front Agent Back Agent
Web
アプリ
Client
HTTP/2(443)
Outbound
HTTP/2(443)
Outbound
Firewallの
穴あけ不要
グローバルの
固定IP不要
Agile：10 分でつながる
Tunaclo
Router
アプリの
変更無し
14

セキュリティ関連の設定ミスは命取りインターネット公開
◼ Webアプリはインターネット公開されないため、設定ミスによるリスクを局所化できます
◼ 許可したWebアプリ以外へはアクセスできないため、ラテラルムーブメントのリスクを低減します
Secure：近年の深刻化するセキュリティ脅威に対処
脆弱な接続先があると攻撃を受けるネットワーク接続
サイトA
API GW
不正アクセス
Internet VPN
不正アクセスサイトAサイトB
Tunaclo
Router
インターネットや接続先からの脅威を排除Tunaclo AC
サイトB サイトA
15

◼ Agent はコンテナ形式で提供され、Kubernetes 等にも容易に組み込めます
◼ 従来は手間の大きかったクラスタ間通信も、簡単かつセキュアに実現できます
App First：Kubernetes にも対応
パブリッククラウド
オンプレミス
既存システム
Kubernetes等
コンテナ
コンテナ
Front Agent
Back Agent
Back Agent
Tunaclo
Router
Internet Internet
16

協力会社①
協力会社②
発注元会社パブリッククラウド
開発環境
◼ Tunacloは業務系、VPNは運用系アクセスに使用することでセキュリティ強化（ラテラルムーブメント対策）
◼ クラウド利用者の生産性を向上（インターネットや社内システム接続時のVPN切断/再接続を不要に）
ユースケース①：Withコロナ時代のCloudNativeなシステム開発
SSH/RDP/SFTP
Tunaclo
Router
SSL-VPN（運用系）
グループウェア
リモート
アクセスOSS
必要十分な
アクセス許可
UXを改善し
生産性向上
17

取引先企業③
（リモートワーク）
取引先企業②
取引先企業①
運用会社
◼ 特定の取引先企業からのアクセスに限定（インターネット公開を想定した攻撃対策や運用体制は不要）
◼ IPに依存しない接続方式で利便性を向上（企業の固定IP変更に追随不要、リモートワークでも利用可）
ユースケース②：サプライチェーンAPIのサイバーセキュリティ対策強化
Tunaclo
Router
SSL-VPN（運用系）
Web納品管理
システム
Webチケット
管理システム
インターネット
から攻撃できない
リモートワーク環境
でも利用できる* * Windows OSに対応したAgentは10月リリースを予定しています
18

Tunaclo API Connect サービスメニュー
Basic
PoCや開発利用向け
Pro
本番利用向け
Enterprise
大規模利用・SaaS事業者向け
1 カ月間ログ保存
Router共有型（冗長無）
メールサポート
5 個まで通信先ID登録可
35,000 円/月
※通信先IDの追加はできません
Router共有型（DR冗長有）
メールサポート
69,000 円/月
+10,000円で5通信先ID追加
Router占有型（DR冗長有）
メール＆電話サポート
お問い合わせ下さい
※ご契約は１年単位となります
基本機能（管理用ポータル、End-to-End暗号化、RBAC etc.）
19

まずはお試しください！
◼ 初月は無料でトライアル頂けます
https://cloud-direct.jp.fujitsu.com/pages/productinfo/2286
◼ 製品に関する詳細・お問い合わせはこちら
https://www.fujitsu.com/jp/tunaclo/
Copyright 2020 FUJITSU LIMITED20

ここからは弊社エンジニアより
サービス開発の裏側をお話します！
21

自己紹介
◼ Name
◼ Belongings
プラットフォームソフトウェア事業本部
第二基盤ソフトウェア事業
第三開発部（亀澤チーム）
◼ Job
◼ Tunaclo ACの開発・運用
◼ どちらかというとインフラよりのエンジニア
◼ Interest
◼ IaCなど、インフラ運用まわり
iura.yoichiro@fujitsu.com
つながるクラウド、
Tunacloなんです
井浦陽一郎
22

チーム結成！
◼Agile and DevOps
◼ 開発チームと運用チームで協力を？
◼ 少人数だから、両方みんなでやろう！
◼ 全員がアプリケーションからインフラまでカバー
◼ 3か月に一回のリリースを目指そう
◼ スプリント期間中
• 毎朝、開発と運用を担当割り当て
• 最近は、あみだくじで、担当割り振り
• 引継ぎは、チケット管理ツールベース

順調なリリース
◼ 3か月に1回のサービスエンハンス
V1.0リリース
2020/02/12
V1.1リリース
2020/05/15
V1.2リリース
2020/08/28
• 基本機能 • Agent冗長化
（Kubernetes対応）
• PathベースのACL
• Tunaclo CLI
• 災害対策
（東西リージョン）
• Front Agentの
待ち受けポート拡張
※ Tunaclo API Connect v1.3 リリース予定
Windows版Agentの提供予定
24

その裏側では・・・
◼どちらかというと、開発を優先
◼ Tunaclo ACの新機能追加
◼ 災対環境の構築やDBの変更
◼運用ではインフラ管理でよく使われるツールを使っているから、OK…?
◼ Terraform : クラウドリソースの管理
◼ Ansible : OSやコンテナの設定・デプロイ
◼ スクリプト言語：その他、ツールではカバーしきれないところ
開発
機能・インフラ＜運用
25

気が付けば・・・
◼リリースごとにインフラのリポジトリが肥大化
◼ 災害対策で管理対象増加
◼ テストや運用向けのスクリプト増加
◼ ちょっとづつ、属人化し始めた？
V1.0 V1.1 V1.2
※インフラリポジトリ内のyaml, tf, py, sh, md内の行数をカウント
17K
25K
39K
26

どうすれば・・・
◼リファクタリングも必要だが、
◼あえて、今のうちにスキルやノウハウを効率よく共有する仕組みを
◼スキルやノウハウを共有するには・・・・・？
• Whiteboard ?
• Wiki ?
• README ?

文芸的コンピューティングにチャレンジ
◼ LC4RI
◼ 運用管理手法
＠NII クラウド運用チーム
◼ 必要なツールがすべてOSSで公開
◼ Jupyter Notebookを活用し
Web UIで運用管理
◼ 「手順」・「コマンド」・「実行結果」を
一つのNotebookで管理
https://github.com/NII-cloud-operation/
実行可能な手順書
必要な情報を
手順書上で
まとめられる
28

◼Jupyter Hub環境をデプロイ
◼ OperationHub(Jupyter Hub)
• チームメンバーで利用できるように、マルチユーザーのJupyter環境
• ユーザーごとのJupyter Notebookがログイン時に起動・割り当て
Jupyter環境を導入
Tunaclo
開発・運用者
https://github.com/NII-cloud-operation/OperationHub
踏み台＆
Jupyter Hub
Tunaclo
インフラ
29

オンプレミス
（弊社NW）
Tunaclo
開発・運用者
踏み台＆
Jupyter Hub
✓ SSHポートフォワード？
✓ VPN接続？
Jupyter Hubにどのようにアクセスすれば
セキュアに運用管理できるか？
Tunaclo
インフラ
30

オンプレミス
（弊社NW）
Tunaclo
開発・運用者
踏み台＆
Jupyter Hub
Tunaclo
インフラ
こういう時こそ、
Tunaclo ACが活用できるのでは？
✓ SSHポートフォワード？
✓ VPN接続？
✓ Tunaclo API Connect
31

◼Tunaclo API Connectを活用した運用にトライ
◼ JupyterによるNotebook手順書と Terminal機能で
基本的な運用はブラウザベースで可能に
Dogfoodingを兼ねて
オンプレミス
（弊社NW）フロント
エージェント
Tunaclo
開発・運用者
Tunaclo
インフラ
バック
エージェント
踏み台＆
Jupyter Hub
Internetを越えたSSHを
最小限に抑えることが可能
※Jupyter環境のメンテナンス
Tunaclo.net
32

手順書の機械的な実行と一括実行
◼人間による機械的な実行
◼ コマンドを遂次実行
◼ コマンドの実行結果を保存
◼ エラー発生とトラブルシュートが
同時にでき、記録として保存
◼手順の一括実行
◼ 手順書や章単位で一括実行
◼ コマンドラインからの実行も可能
• Papermillの活用
https://github.com/nteract/papermill
「コマンド」
＋
「実行結果」
33

人間による機械的な実行例（E2Eテスト）
章や節の一括実行
手順の説明
（マークダウン形式）
コマンド１
コマンド２
手順書の一括実行
実行状況の確認
34

一括実行例（E2Eテスト）
◼Papermillによるコマンドラインでの実行
◼Jupyter NotebookのTerminalから一括実行
papermill [対象のNotebook] [実行結果を含むNotebook] -p <パラメタ指定も可>
実行可能な手順書が
安定してきたら、
そのまま自動実行に移行
（CIツールと連携）
各種オブジェクト
ストレージにも対応
35

これまでのまとめ
◼JupyterHub + Tunaclo API Connect
◼ 開発・運用をセキュアに行うことができる！(Jupyter環境のメンテナンスを除く)
◼Jupyter Notebookによる実行可能な手順書
◼ ブラウザだけで作業が完結する！コピペ不要！
◼ 機械的な遂次実行も、一括実行も可能！コマンドごとに試行錯誤が簡単！
◼ 手順（コマンド）ごとに記録に残るから、振り返りや情報共有に使える！
◼ 学習や運用方法の検討が大切
• Jupyter Notebookに慣れない（コマンドラインの方が速い）
• 手順書の管理などは手探り状態（手順書自身が巨大）
属人化に対して効果がありそう
36

今後について
◼サービス運用の改善
◼ Notebook手順書で開発・運用を継続
• 特定の人しかできないをなくし、チームで運用できるように
• 手順をわかりやすく、実行可能な状態を維持
◼ 実行可能な手順書の運用方法の確立
◼ 運用自動化に向けて
• PapermillとCIツールの連携

（再掲）まずはお試しください！
◼ 初月は無料でトライアル頂けます
https://cloud-direct.jp.fujitsu.com/pages/productinfo/2286
◼ 製品に関する詳細・お問い合わせはこちら
https://www.fujitsu.com/jp/tunaclo/

【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス

More Related Content

What's hot

Similar to 【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス

【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス