Webinar - Cyber Security basics in Japanese
Download as PPTX, PDF1 like520 views
クラウドフレアはより良いインターネットの構築をミッションとした、ウェブパフォーマンス及びセキュリティのリーディングカンパニーです。 現在、クラウドフレアでは約2,000万以上のWebサイト、API、SaaSサービスなどの高速化サービスおよび様々な脅威な攻撃をネットワークのエッジで防御を行っています。クラウドフレアのネットワークでは毎月10兆件以上のインターネットリクエストが送信され、その数は全世界28億人以上のインターネットリクエストのほぼ10%を占めています。このセッションでは、世界最大規模のネットワークを運用するクラウドフレアだからこそ可能な、パフォーマンスに影響ないDDoS攻撃防御、アプリケーションセキュリティ、ゼロトラスト・セキュリティをご紹介いたします。
Webinar - Cyber Security basics in Japanese
- 2. Agenda 2 ● クラウドフレアのサービス概要 ● セキュリティ導入事例 ● DDoS攻撃及び対策 ● 多重セキュリティによるレイヤ7攻撃の対策 ● ダッシュボードデモ ● Q&Aセッション
- 3. We are building a Global Cloud Network to help the Internet be faster, more secure, and more reliable. インターネットをもっと速く、もっとセキュアに、そしてもっと安 心して 利用するためのグローバルクラウドネットワークを構築中。
- 4. 194 Cities 90+ Countries 8,000 Interconnects 99% Of the Internet-connected developed world population is located within 100 milliseconds of our network Note: Data as of June 28, 2019. 4 Global Cloud Network
- 5. “Network Edge” as a service
- 6. BETTER INTERNETBAND-AID BOXES ● 簡単設定、フレキシブル、スケーラブ ル ● 統合管理コンソール ● サーバレスクラウドアーキテクチャ ● クラウド、ハイブリッド、オンプレミ ス、SaaSアプリケーション ● 広範な機能を統合化したプラットフォ ーム ● 高価、複雑 ● 特定のウェブ機能に依存 ● 専用のハードウェア ● オンプレミス専用 ● 一時的ソリューション Global Cloud Platform Next-Gen Infrastructure エンドレスに続くハードウェアへの投資から解放! 6
- 7. Multi-Cloud made simple 定額料金可用性 パフォーマン ス セキュリティ インテリジェン ト ネットワーク On Premise/Other エンドユーザー環境
- 8. 20M+ Internet properties ~10% Fortune 1000 are paying customers 1B+ Unique IP addresses pass through Cloudflare’s network every day Protecting & accelerating Internet applications across verticals Confidential. Copyright © Cloudflare, Inc.
- 9. 9 Domain Name System (DNS) DNS Resolver Always Online Firewall Bot Management DDos Protection Zero Trust Security AnalyticsCloudflare AppsEdge Compute PERFORMANCESECURITY RELIABILITY PLATFORM IoT Security SSL/TLS Secure Origin Connection Rate Limiting Cache Intelligent Routing Content Optimization Mobile Optimization Image Optimization Mobile SDK Load Balancing Anycast Network Virtual Backbone
- 11. ScaleCustomers. Compute. Connectivity. Data.
- 14. パブリック IX (Internet Exchange) との高い接続性 Source: Hurricane Electric Inc
- 15. 固定料金サービス ● 隠れたコストは一切なし。 プロフェッショナルサービ スとしての課金はなし。 Traffic/Bandwidth Time 固定料金 ● トラフィックのスパイクによる 予期せぬコストからの解放 ● 正常及び攻撃トラフィックが発 生した場合でも固定料金でご請 求いたします。
- 16. DNS DDoS FirewallTLS CDNRate Limiting WAF Argo ワールドワイドで約10%のHTTPインター ネットトラフィックと39%のDNSクエリ処 理。 194+箇所のデータセンターで 30TB+のキャパシティを提供。 Cloudflare Datacenter • 簡単導入と設定。 • 予測可能な固定料金。 • 全インターネットユーザー向けにサービスプランを提供 。 • 巨大グローバルネットワークとスケール。 • パフォーマンス & セキュリティの統合ソリュー ション。 • ネットワーク脅威データのインテリジェンス。 Origin Server 2,000万+の顧客基盤と月間1兆5,000億 PVを支えるトラフィックのルー ティング。 最後に・・・ここが凄い!!
- 17. Security
- 18. Cloudflareのグローバル ネットワーク 攻撃者 訪問者 ボット マルチ クラウド オンプレミス ハイブリット クラウド SaaS Confidential. Copyright © Cloudflare, Inc. Cloudflareのアーキテクチャ
- 19. クラウドフレアが導入されていない場合 オリジンサーバーは訪問者と攻撃者にさら されている状態となっています Origin ServerVisit/User 1.2.3.4 クラウドフレアが導入されている場合 全てのリクエストはエニキャストDNSで プロキシされ最寄りのデータサーバー経 由でオリジンサーバーに到達します Origin ServerVisit/User 104.x.x.x Nearest Cloudflare Data center 1.2.3.4 Confidential. Copyright © Cloudflare, Inc. DNS変更でWeb高速化及びセキュアなソリューション
- 20. ● 初期設定はすぐに設定完了 可能 ● 既存のホスティングプロバ イダーの維持 ● アプリ側の変更は不要 ● 変更管理はダッシュボード 、API及びTerraform ● 新しい設定変更は全てのPoP に瞬間に適用 簡単導入及び設定 Confidential. Copyright © Cloudflare, Inc.
- 22. セキュリティ脅威の例 1 - DDoS 攻撃 2 - Web application 攻撃 3 - Bots
- 23. Rate Limiting SSL L3/4 DDoS 保護 ` セキュリティサービス一覧 Request Passed! Bot マネージメント WAFDNS/DNSSEC Argo トンネル 23 Orbit Spectrum EXTEND WorkersAccess CONTROL 23 L7 DDoS 保護 2-5 ms TCP/UDPIoT Client TLS VPN Replacement Custom Logic
- 25. Volumetric DNS Flood攻撃 Bots DNS Server DNS Server Server アンプリフィケーション 攻撃 (レイヤー 3 & 4) HTTP GET/POST Flood攻撃 (レイヤー 7) 1 2 Bots 3 Bots Degrades availability and performance of applications, websites, and APIs HTTP Application Application/Login DDoS攻撃の種類
- 26. DDoS攻撃例: Telegram (2019/06) Source: https://twitter.com/durov/status/1138942773430804480
- 27. The Daily DDoS: 感謝祭に起こった10日間に も及んだ非常に大きな DDoS攻撃 8時間以上継続的な攻撃 480+ Gbps Size 200 Mpps お客様の被害 • 8-24時間 毎日継続し攻撃を受ける • 広範囲に渡る TCPへのDDoS攻撃 • 集中的に攻撃を受け続ける CLOUDFLARE のソリューション • クラウドフレア のシステム上で全攻撃に対して自動的に排除し続けた 攻撃の統計値 攻撃は約8時間ほど続き、ピーク時には200Mpps と 480Gps以上にも及んだ 3日目 Attack traffic in gigabytes per second 10日間に渡る継続的な攻撃 攻撃の推移(単位: Mpps) ユースケース例: サンクスギヴィングデー(感謝祭)攻撃
- 30. DDoS攻撃防御ソリューション スケーラブル、簡単に導入可能、可用性に優れたハイパフォーマンスなソリューション 攻撃の規模に関わらず、課金計測なしの無制限でDDoS攻撃からの保護を提供します。 オンラインの維持 193拠点以上のデータセンタ ーとグローバルエニーキャス トネットワークにより、高度 に分散されたDDoS攻撃のト ラフィックを吸収し顧客サイ トの継続稼働を支援。 オリジンインフラストラクチ ャーの保護 エッジでのボリューメトリック攻 撃をL3,4,7で検出し遮断。 異常なトラフィックを特定 HTTPリクエストからフィンガープ リントを採取して、自動緩和ルー ルを使用し既知のボットネットや 新たに出現したボットネットから サイトを保護。 コントロールによる アプリケーションを保護 Rate Limitingのきめ細やかな コントロールによって、検出の 難しいアプリケーション層の攻 撃をブロック。 Origin Server DDoS attack 攻撃の予測 2,000万のウェブサイトで共 有している情報により、き ちの不正なシグネチャを事 前にブロック。 オリジンサーバーへの攻撃防 御 Argo トンネルがPop-オリジン間 をTLSで暗号化して通信を行い、 攻撃者からのアタックを防ぎます 。
- 34. アプリケーション及びAPIの脆弱性 Fake Website Visitors 1DNS Spoofing Malicious Payload eg: SQLi that ex-filtrates PII and credentials 3 Attacker Bots Brute Force 4 Data Snooping 2
- 35. 多重防御によるDDoS攻撃緩和の一覧 35 自動化 個別設定が可能 レイヤー 7 Advanced DDoS (L7) Rate Limiting –Volume based WAF – Signature based レイヤー 3/4 Advanced DDoS (SYN / ACK) IP Reputation / Security Level IP Firewall DNS Advanced DDoS (DNS) Virtual DNS Rate Limits
- 36. 36 共有されたインテリジェンス、自動アップデート、WAFルールの伝搬は15秒以内に完了 Automatic WAF Updates • Cloudflareのセキュリティエンジニアは、2,000 万ユーザーの大部分に新しい脅威が該当すると 判断した場合、WAFルールを自動で適用します 。 Collective Intelligence • Cloudflareは毎秒600万件のリクエストを監視し ており、WAFは潜在的な脅威を継続的に特定し ブロックしています。 Built for Performance • CloudflareのWAFルールセットの遅延は1ms以内 です。ルールセットの更新をグローバルで15秒以 下で完了。 新しいカスタムWAFルー ルが設定・変更されると 、15秒以下で世界中の PoPで有効になります。 クラウドフレアネットワーク上の 全ドメイン名が保護される WAFのインテリジェンス
- 37. OWASP ModSecurity ル ールセット Cloudflare WAF ルールセット カスタム WAF ルールセット ● Joomla, Drupal, Wordpressなど 一般的なコンテントを保護 ● XSS, SQLi, LFI, DDoS, RCE, spam に対しても対応 ● 新しいゼロデイ攻撃の脆弱性に 対して即日にルールセット可能 ● “オン/オフ”設定のみで ルール適応可能 ● 全てのルールに対し細かな 調整をしながらスコアリン グ ● SQLインジェクションとク ロスサイトスクリプティン グの脆弱性に集中した対応 ● OWASPは米国に本部を持つ 非営利でオープンな組織 ● ログや詳細な記述を参考にしに ユーザごとに特別なルールを作 成 ● サポートリクエストが必須 ● ユーザーエージェント, URL, リ ファラー, クライアントIP, 国別 など、個別に対応 ● ビジネスプランとエンタープラ イズプランのみに対応 Cloudflare WAF ルール一覧
- 38. ゼロデイ脆弱性の対応例 1. Microsoft SharePointの脆弱性 CVE-2019-0604 (2019年5月) 2. TCP SACK PANIC - Linuxカーネルパニック脆弱性(2019年6月) 3. Drupalの脆弱性SA-CORE-2019-003 (2019年3月)
- 39. ダッシュボードデモ (WAF, FW, Analytics)
- 41. Cloudflare Botマネージメントの違い 41 透明性及び 管理 簡単な導入及び運用 お客様側でBotマネージメントの設定及び 運用状況の確認可能 ● Bot マネージメントのルール設定はFirwallル ールから柔軟な細かい操作で設定可能 ● Javascript、 ユーザーの振る舞い分析 又は 機械学習のルールが一致した場合、 ダッシ ュボードのアナリティクス画面やログで確 認可能 ● お客様側で全てのルールに対して定義可能 及び他のセキュリティ機能と組み合わせ可 能。 ノンブロッキングモード、Captchaモ ードや ブロッキングモードの運用又は Rate LimitやWAFなどと組み合わせて適用可能。 お客様は複雑な設定を行わなくても、こちらのソ リューションを簡単に導入可能。 ● Javascriptのエージェントを必要なく、 ワンクリックでお客様のWebアプリケーショ ン、APIやWebサイトの保護が可能 ● こちらのソリューションでWebスクレイピン グ、クレデンシャルスタッフィング、スパム ボット、不正な購入やクレジットカードの不 正利用から保護可能。 スマートデータ Cloudflare Bot マネージメントは毎日2,000万以 上のサイトの保護にあたり、兆を超えるトラフィ ックのリクエストのスコアリングや検知を行って いる。 ● 機械学習で日々2億以上のリクエストから脅 威な情報の学習やスコアリングを行い、高度 なBot攻撃にも対応可能 ● データセットには237 カ国から平均 3百万 以上の Captchasチャレンジでブロックを行 っています ● 1つのWebサイトで確認出来た脅威の情報は 即時にグローバルのお客様のサイトに対して 適用可能。
- 43. 脅威データーの インテリジェンス ネットワークスケール クラウドフレアの優位性 簡単導入及び設定パフォーマンス及びセキュリティの 統合ソリューション DEVELOPERフレンドリー マルチクラウドの対応 Confidential. Copyright © Cloudflare, Inc.
- 44. 44 Thank you!