Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

セキュリティCDN: Imperva Incapsula

2,315 views

Published on

2016年8月4日(木)に開催した「セキュリティ攻撃の最新動向と対策方法」第2部の資料

Published in: Technology
  • Login to see the comments

セキュリティCDN: Imperva Incapsula

  1. 1. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. セキュリティCDN : Imperva Incapsula IMPERVA Inc. 株式会社Jストリーム 2016年8月4日 【 第 2 部 】
  2. 2. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. 株式会社Jストリーム 会社概要 (東証マザーズ上場:証券コード4308) Confidential 2 設 立 : 1997年5月 資 本 金 : 21億8,237万円(2016年3月末現在) 代 表 者 : 代表取締役社長 石松 俊雄(いしまつ としお) 本 社 : 〒105-0014 東京都港区芝2-5-6 芝256スクエアビル6階 西日本営業所 : 〒530-0003 大阪府大阪市北区堂島2-1-31 京阪堂島ビル5階 福岡ラボ(開発拠点) :〒810-0001 福岡県福岡市中央区天神1-12-7 福岡ダイヤモンドビル5階 事 業 内 容 : (1)インターネットを利用した動画データ・画像データ・音声データの提供サービス業 (2)インターネットを利用した会員情報管理、商取引、決済処理に関する業務の受託 (3)テレビ番組、音声・映像ソフト等のデジタルコンテンツ、出版物の企画・制作及び販売業 (4)コンピュータに関するハードウェア・ソフトウェアの開発・販売 (5)インターネットを利用した各種情報提供サービス業 (6)インターネットに関する技術指導・コンサルテーション (7)広告代理店業 主 要 株 主 : トランス・コスモス株式会社 KDDI株式会社
  3. 3. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.Confidential 3 CDNサービス事業者としての 19 年にわたる数多くの実績をもとに、 ネットワークを通じた企業のコミュニケーション活動をサポート 人的サポート・制作/運用体制 アカウント営業+専任スタッフによるサポート CDN/配信インフラ 24/7での有人監視 自社保有CDN/配信サーバー お取引企業様は年間700社以上
  4. 4. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. 講演者プロフィール 鍋島 公章(なべしま まさあき) Confidential 4 • 株式会社Jストリーム 配信事業統括本部 プロダクト企画部 エグゼクティブマネージャー • 新規サービスの企画に従事 • 前職では国内モバイルキャリアでSOC(セキュリティオペレー ションセンター)の立上げおよび運用に従事 • 監訳:実践ネットワークセキュリティ監査 • CISSP(米国ISC2認定 情報セキュリティスペシャリスト)
  5. 5. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsula概要 Confidential 5 パフォーマンスセキュリティ 可用性 最大の運用課題を解決 これらをクラウドから提供
  6. 6. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsulaアプリケーション配信クラウド Confidential 6
  7. 7. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsulaの基本動作 Confidential 7 Webトラフィックを、Incapsulaネットワーク経由とすることにより、 不正なトラフィックはブロックされ、正当なトラフィックは加速される Incapsulaネットワーク Webサイト 正当なトラフィック
  8. 8. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Webサイトは多くの脆弱性を持つ Confidential 8 96 % のWebアプリケー ションは脆弱性を持つ 61 %以上のトラフィック は人以外が生成 96% 61.5 % 人以外のトラフィック 38.5% 人が生成したトラフィック WEB APP 1/2は悪意を持つ Sources: Cenzic, Inc. – Feb. 2014, Incapsula, Inc. –2013
  9. 9. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsulaセキュリティモデル Confidential 9 アクセス管理 望まないIP、地域、国からのアクセスをブロック Bot緩和 自動攻撃、好ましくないBot、悪質な情報取得(スク レイパー)、スパムをブロック WAF ハッキング攻撃をブロック OWASPトップ10攻撃(SQLi, XSS, etc.) カスタムルール、ポリシーエンジン アプリケーション固有の攻撃をブロック
  10. 10. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsula WAF (Web Application Firewall) • 様々な攻撃HTTPリクエストを排除 Confidential 10 Incapsulaネットワーク オリジンサーバ Bot スパマー 正当なトラフィック WAF 負荷分散 パフォーマンス強化 DDoS 緩和 ハッカー DDoS
  11. 11. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.11 WAFルール • ルール – バックドア対策 – 外部ファイルインクルード対策 – SQLインジェクション対策 – クロスサイトスクリプティング対策 – 不正なリソースアクセス対策 • アクション – アラートのみ – リクエストをブロック – ユーザをブロック※ – IPアドレスをブロック – ルールを無視 Confidential ※Incapsulaがユーザを認識するために 独自のクッキーを追加 Incapsulaネットワーク
  12. 12. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.12 Webサイトを攻撃から防御 • ビルトインの2要素認証 – 管理者パスワードの紛失・盗難から情報漏えいを守る • (Webサーバ)バックドアの自動検知および検疫 – 防御されたシステム上でマルウェアが動作することを防御 Confidential 追加防御によりクラッカーから Webサイトを防御
  13. 13. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsulaのセキュリティ・アドバンテージ Confidential 13 クラウドベース階層セキュリティ IP Reputation Lists Client Classification WAF クラウドソーシング ビッグデータ解析 • 160,000以上のサイト • Tビット/秒のトラフィック • 100万以上の攻撃 最もアップデートされた情報 • IPレピュテーション • クライアント分類 • WAFシグネチャ • ソフトウェア・ハードウェ アの購入は不必要 • 数分で使用開始 • 専門家は不要 攻撃トレンドのクリアな 可視化
  14. 14. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. DDoS攻撃の動向 Confidential 14 Sources: Incapsula, Inc. – 2014, 2014 Verizon Data Breach Investigation Report 平均的なDDoS攻撃は前年より42%巨大化 42% 平均DDoS 攻撃の規模/2014 10Gbps 200Gbps 日常的な大規模攻撃/2014
  15. 15. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. DDoS攻撃 – 何を対策すべきか? Confidential 15 • ネットワーク/物量 (Layer 3&4) – 大量のトラフィックで、 ネットワーク回線を飽和させる – 必要な対策: 巨大なネットワーク • アプリケーション (Layer 7) – 人間の行動に見せかけた攻撃で、 アプリケーションサーバを停止させる – 必要な対策: 高度な識別
  16. 16. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. 包括的なDDoS防御 Confidential 16 DNS Web UDP, TCP SSH, FTP, Telnet SMTP SIP DDoS防御 防御される資産 Website Protection Name Server Protection インフラ 防御 Webサイト 防御 DNSサーバ 防御
  17. 17. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. 包括的なDDoS防御 Confidential 17 • 1.5 Tbps以上のミティゲーション容量 • 無制限の防御(頻度および攻撃規模) • プロプライエタリ技術 (ソフトウェア, ハードウェア, アルゴリズム) • 24x7 SOC – 経験豊かなセキュリティ技術者 DDoS防御 防御される資産 DNS Webアプリケーション インフラ DNSサーバ Webサーバ ネットワーク, サーバ HTTP/S DNS SSH, FTP, Telnet, SMTP, etc. レイヤー 3, 4 3, 4, 7 3, 4, 7
  18. 18. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. 物量攻撃 プロトコル アプリケーション 24x7 SOC IncapsulaのDDoS対策 Confidential 18 • 物量攻撃 – スクラビングネットワーク – 専用ハードウェアとソフトウェア – 拡張可能なアーキテクチャ • プロトコルDDoS攻撃 – レイヤー7プロキシ / DNSプロキシ – コネクション管理 • アプリケーションDDoS攻撃 – 仮想パッチ – Bot識別 – アプリケーション認識 – WAF防御 – 高度なチャレンジ・レスポンス • SOC(セキュリティオペレー ションセンタ) – 24x7サポート
  19. 19. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Bot識別 • Botの特徴 – Cookieサポート : 30 % – JavaScript実行が可能 : 1 % – 独特の振る舞い • Incapsulaクライアント識別 – 誤認識率(正当なトラフィックをBot扱いする) : 0.01 %以下 Confidential 19
  20. 20. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsula DDoS防御のアドバンテージ • どのような規模のDDoS攻撃も簡単に防御 (グローバル 1.5 Tbps スクラビング・ネットワーク) • どのようなタイプ (ネットワーク, アプリケーション, プロトコ ル, etc.)のDDoS攻撃も防御 • Webサイトのスローダウン, ユーザ体験への悪影響, 誤検 知を最小化 Confidential 20
  21. 21. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsula DDoS防御のアドバンテージ • 洗練されたアプリケーション層技術 – DDoSボットを検知するクライアント識別エンジン – 誤検知を最小化する透過的なチャレンジ・レスポンス(クッキー、Javascript等) – WAF統合によるマルチベクター攻撃対策 • プロプライエタリなミティゲーション(緩和)技術 – カスタム ハードウェア、ソフトウェア、アルゴリズム – 進化した(新種、擬態)DDoS攻撃に対応するシステムの完全管理 – システム全体に対するアップデートやカスタムルールの高速な展開 Confidential 21
  22. 22. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. コンテンツ配信とアクセラレーション Confidential 22 高品質データセンタから構成されるグローバルCDN
  23. 23. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Webサイトを訪問者の近くに配置 Confidential 23 Incapsulaはコンテンツを最適化しキャッシュする。訪問者は、ローカルな キャッシュからコンテンツを取得でき、高速なWebアクセスを得る Incapsulaのキャッシュはすべて物理メモリで構成される
  24. 24. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. ワンタッチWebサイト高速化 • Webサイトのコンテンツを自動的に解析し、パフォーマンスの最適化を行う: – キャッシュ可能か? – キャッシュの保存期間 – 頻繁に使用されるオブジェクト識別および優先化 Confidential 24 高速なWebページ表示 帯域の節約 Webサーバの低負荷化
  25. 25. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsula負荷分散とフェイルオーバー Confidential 25 クラウドの多様性をアプリケー ション負荷分散に適用する ローカル 負荷分散 サイトの フェイルオーバー グローバル 負荷分散
  26. 26. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. なぜIncapsulaなのか? 著名な研究チーム161,000 以上 の顧客サイト 1.5Tbpsネットワーク 27のデータセンター Best DDoS Mitigation Service Top Ten Reviews 2013 – 2014 Best Web Security and Performance Service Top Ten Reviews 2012 – 2014 Security Innovator of the Year Cloud Awards.com 2014 Readers choice: DDoS Protection Solution of the Year Search Security 2014 North America Top 10 Red Herring – 2011 Gartner MQ Leader for Web Application Firewalls 2014, 2015 Forrester Wave Leader, DDoS Service Providers 2015 先端ソリューション 26Confidential
  27. 27. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.27 Forrester WaveのDDoS対策サービス分析 • Leaders(リーダ領域)にポジション • Current Offering(提供される機能) においてトップ • マーケットにおけるプレゼンス Confidential Source: 2015 Forrester Wave™ for DDoS Service Providers, Q3 2015
  28. 28. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. 顧客からの信頼(数千社以上) Confidential 28
  29. 29. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. IncapsulaとCDNext • 比較 Confidential 29 Incapsula CDNext WAF機能 ○ × DDoS対策 ○ △※ DDoS対策(SOC) ○ × CDN機能 △ ○ CDN容量(ヒット率) △ ○ 料金体系 ピーク課金 流量課金 追加サイトへの課金 あり なし ※CDNextのDDoS対策:複数の数十Gbps配信拠点+特定の拠点はISPのDDoS対策を導入
  30. 30. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. Incapsula価格体系 • 基本プラン • 追加オプション Confidential 30 Imperva Incapsula プラン名 WAF 帯域幅 Webサイト数 CDN DDoS Protection Enterprise 20 20 Mbps 1 ○ 1GB Enterprise 50 50 Mbps 1 ○ 1GB Enterprise 100 100 Mbps 1 ○ 1GB DDoS Protectionアップグレード アップグレード:DDoS Protection (10Gbps) アップグレード:DDoS Protection (50Gbps) アップグレード:DDoS Protection (無制限) Webサイト追加(抜粋) 1サイト追加 5サイト追加 10サイト追加
  31. 31. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. 帯域について • 配信帯域 – (定常)ピーク10Mbps ≒ 配信量1TB/月≒100万PV/1MBページ • DDoS攻撃 Confidential 31
  32. 32. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. IncapsulaとCDNext:ユースケース • ファイル別の同時利用 – Incapsula:HTMLファイル – CDNext:イメージファイル • メリット – Incapsulaの費用削減 – CDNextをIncapsulaのバッ クアップとして利用 Confidential 32 Webサイト CDNext HTML PNG, JPG
  33. 33. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. 補足:IncapsulaとCDNext他の組み合わせ • フロント:Incapsula、バックエンド:CDNext • CDNextの高度なキャッシュ機能を使用する • フロント:CDNext、バックエンド:Incapsula • IncapsulaのDDoS対策およびWAF機能が完全には動かない Confidential 33 WebサイトCDNext WebサイトCDNext
  34. 34. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.Confidential 34 CDN情報サイトで最新技術情報を公開 https://tech.stream.jp/ 本セミナのサポートページ https://tech.jstream.jp/blog /meeting/cdn_security_semi nar/
  35. 35. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved. ありがとうございました https://www.stream.co.jp/ 0120 – 65 - 8140 35Confidential フリーダイヤル

×