More Related Content
Similar to ShowNet2021 Security_parapara (20)
More from Interop Tokyo ShowNet NOC Team (20)
ShowNet2021 Security_parapara
- 2. Copyright © Interop Tokyo 2021 ShowNet NOC Team
The Internet
2021年ShowNet セキュリティ対策全体像
Darknet
SDP
MFA
SASE
Remote Operator
VPN
Multi -Cloud
SAML IdP
MFA
Exhibitors
Visitors
Vuln
Scanner
Operator
NGFW / Sandbox
❌
❌
DDoS
mitigation
❌
SIEM
Security
Appliances
NAC
Threat Intelligence
EDR
Network Forensic
Operator
Security
Operation Cycle
TAP
Packet Broker
- 3. Copyright © Interop Tokyo 2021 ShowNet NOC Team
2021年はShowNetでZTAにチャレンジ
ワークロード
エンドポイント
ネットワーク
ID
クラウド
守るべきリソース
SASE | SDP
MFA | SDP
EDR
SD Security
Cloud Security
ZTA : NIST SP800-207 Zero Trust Architecture
- 5. Copyright © Interop Tokyo 2021 ShowNet NOC Team
TTDB
PA-3250
SDP Gateway
The Internet
① 認証リクエスト
② 認証リダイレクト
③ 認証
リダイレクト
④ 認証
⑤ 認証成功
⑥
所
有
者
認
証
(
デ
バ
イ
ス
)
⑦
認
証
成
功
⑧ 認証成功
⑨
ト
ー
ク
ン
⑩ リソースへアクセス
ShowNetへのセキュアアクセス概要(SDP + MFA)
- 6. Copyright © Interop Tokyo 2021 ShowNet NOC Team
SDPによるリモート端末の検証とアクセス制御
守るべきリソース保護のための継続的な検証と評価
• ShowNetをリモートから安全に
構築・管理・運⽤するためのアク
セス⽅法の⼀つとして、
AppGate SDP(Software-
Defined Perimeter)を採⽤
• SDPでは、リモート端末が保護さ
れたリソースにアクセスする際、
コントローラ側で定義されたポリ
シーによって動的に接続の可否を
判定、セッション情報を記録
• これにより、アクセスできるリ
ソースをユーザや端末の状況から
動的に制御でき、適切なセキュリ
ティポリシーを継続して適⽤可能
The Internet
SDP Controller
on Microsoft Azure
①認証リクエスト
③アクセス権情報を含むトークン
②資格情報・ユーザ・環境によるポリシーの判定
⑤実際の保護されたリソースへの接続
④トークンを⽤いた接続リクエスト
⑥継続的なポリシーの
検証と適⽤
SDP Gateway
SDP Client
※ユーザの認証フローについては後述
- 7. Copyright © Interop Tokyo 2021 ShowNet NOC Team
ShowNetへのリモートアクセス(SASE + MFA)
TTDB
PA-3250
SDP Gateway
The Internet
① 認証リクエスト
② 認証リダイレクト
③ 認証
リダイレクト
④ 認証
⑤ 認証成功
⑥
所
有
者
認
証
(
デ
バ
イ
ス
)
⑦
認
証
成
功
⑧ 認証成功 ⑨ VPNでリソースへアクセス
SASE
Japan POP
- 8. Copyright © Interop Tokyo 2021 ShowNet NOC Team
SASEによるセキュアアクセスサービスの提供
リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤
• リモートからShowNetへ安全にア
クセスするための⽅法の⼀つとし
て、Prisma Accessによる
SASE(Secure Access Service
Edge)を⽤いたリモートアクセス
を提供
• リモート端末からのインターネッ
ト及びShowNetへの通信をSASE
に集約し、セキュリティ機能を適
⽤することにより、端末を脅威か
ら保護すると同時に、通信トラ
フィックを継続的に監視
• セキュリティ上の問題が発⽣した
場合、SASE側で通信を制御するこ
とにより、リソースを不正なアク
セスから保護することが可能
The Internet
Prisma Access
SASE
SASEとの安全なVPN接続
VPNトンネル
ShowNetリソースへのアクセス
インターネットへの通信
※ユーザの認証フローについては後述
PaloAlto Firewall
- 9. Copyright © Interop Tokyo 2021 ShowNet NOC Team
TTDBを中⼼としたSAML認証の開発
⼀元的な認証認可によるリソースの保護
• ShowNetのリソースに対してリモー
トからのアクセスを提供するに際し
て、適切な認証と、リソースへのア
クセス認可を実施する必要がある
• ShowNetの運⽤データベースである
TTDBにSAML認証の仕組みを実装す
ることで、実際に運⽤・管理を実施
するNOC及びコントリビュータの
ユーザ管理と認証を⼀元的に実施
• NOC側で個別にアクセス許可を⾏う
ことにより、リソースへのアクセス
を必要なユーザに対してのみ提供す
ることが可能となった
①接続を要求
②TTDBへリダイレクト
③認証
④許可されたユーザのみアクセスを許可
ユーザへのアクセスを許可
NOC
SASE SDP FortiGate
作った⼈
- 10. Copyright © Interop Tokyo 2021 ShowNet NOC Team
CSPM、フロー監視によるマルチクラウドの
セキュリティポリシ監視
リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤
• マルチクラウド環境の⼀元管理
• クラウド基盤の設定を⾃動監視
• テレメトリ、ログを監視し振る舞い検知による脅威検出
Operator
- 12. Copyright © Interop Tokyo 2021 ShowNet NOC Team
セキュリティサービスの提供
• NGFW / Sandboxによりリアルタイム で
脅威を遮断するセキュリティサービスを
100Gインラインで接続
• 2台のアプライアンスでホール毎に出展社
ブーストラフィックをSymmetricに監視
• Hall 3, Hall 4, 来場者向けWi-Fi
• PA-5280 and WildFire
• Hall 5, Hall 6, ShowNet⽣活⽤NW
• FortiGate 4401F and FortiSandbox
- 13. Copyright © Interop Tokyo 2021 ShowNet NOC Team
• FortiGate4401f / FortiAI / FortiNAC
• PA-5260 / IoTセキュリティサービス
• DAMBALLA
• Check Point Security Appliances
/ Check Point SandBlast
• TiFRONT
• Stealthwatch
• Threat Wall
• NSX NDR
脅威検出
ネットワークトラフィックの解析と対応
EXA48600
Vision X
Flex TAP
トラフィック複製
Synesis
ネットワークフォレンジック
Operator
NIRVANA改弐
重複排除
分配
集約
インシデント対応
相関分析
検知アラート
- 14. Copyright © Interop Tokyo 2021 ShowNet NOC Team
スレットインテリジェンスを活⽤した
プロアクティブな脅威検出
• TIPとSIEMの連携
• アラート / ログに対するサイバー攻撃の痕跡調査と対処
• Interop Tokyo / ShowNetのクレデンシャルリーク
タイポスクワッディングの監視
EXIST
AutoFocus
Recorded
Future
CyberTotal
VMware
Threat
Intelligence
CURE
NIRVANA改弐
Endpoint
Security
Security
Appliances
xFlow
TI / SIEM連携
Feed / API
Alert / Log
セキュリティリサーチャ
による脅威レポート
サイバー攻撃キャン
ペーンの IoC / TTPs
ShowNet外部の脅威監視
- 15. Copyright © Interop Tokyo 2021 ShowNet NOC Team
インシデント未然防⽌のための脆弱性検査
• ShowNet内外から脆弱性スキャナによる検査を実施
• ⾒つかった脆弱性は本番運⽤前に対処を実施
Nessus Scanner
Nessus Scanner
Nessus Scanner
Nessus Scanner
x4
Tenable.io
ob-mgmt
mgmt
global-life
Skybox
private-life
ShowNet global
Internet
Cloud global
Cloud mgmt
VPN