SlideShare a Scribd company logo

2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar

Interop Tokyo ShowNet NOC Team, profile picture
Interop Tokyo ShowNet NOC Team

ShowNet 2021:展示会場内セミナー 2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ ShowNet NOCチームメンバー 神宮 真人

Internet
1 of 38
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
ShowNet 2021 ゼロトラストモデルによる 次世代セキュリティアーキテクチャ Interop Tokyo 2021 ShowNet NOCチームメンバ セキュリティ担当 神宮 真⼈ (情報通信研究機構) 橋本 賢⼀郎(ヴイエムウェア) 明⽯ 邦夫 (東京⼤学) 清⽔ ⼀貴 (ジュニパーネットワークス)
Copyright © Interop Tokyo 2021 ShowNet NOC Team アジェンダ •ShowNetとは •ShowNet 2021におけるセキュリティの課題 •ShowNetにおけるゼロトラストモデルの適⽤ •サービス提供事業者としてのセキュリティの 取り組み
ShowNet とは
Copyright © Interop Tokyo 2021 ShowNet NOC Team Interop Tokyo • 世界最⼤のネットワーク機器と技術の展⽰会 • 1986年⽶国モントレで開催されたカンファレンスイベント 「TCP/IP Vendors Workshop」が始まり • ⽇本では毎年6⽉に幕張メッセで開催 • 来場者約14万⼈
Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetとは︖ • 産業界、学術界、研究機関から集まるトップエンジニア実施する世界最⼤級 のライブデモンストレーションプロジェクト • 2年後、3年後に業界に浸透する技術を先駆けて挑戦 • 世界、国内で初披露(実稼働)される新製品も実装 • 最新技術を実装しながら安定したサービスを出展ブース・来場者に提供 • Interop Tokyoが唯⼀、開催当初のスピリットを継承 • 産学官から集まったNOCチームメンバーと、機器やサービスを提供するコン トリビュータ、⼀般から公募するボランティア「STM」の三位⼀体で構築 Interop と ShowNetについて
Copyright © Interop Tokyo 2021 ShowNet NOC Team
Copyright © Interop Tokyo 2021 ShowNet NOC Team ネットワークの規模 • コントリビューション機器/製品/サービス台数︓約1500台 • 動員数(のべ) ︓368名 • NOCチームメンバー ︓30名 • STM/CTM ︓33名 • コントリビュータ ︓305名 • UTP総延⻑︓約21.0km 光ファイバー総延⻑︓約5.5km • NOCラック及びPod総電気容量 100V:約140.0kW 200V:約66.0kW • 内訳(NOC 100V:約115.0kW 200V:約62.0kW、Pod 100V:約25.0kW 200V約4.0kW) • NOCラック及びPod総コンセント数(100V,200V含む):約240個 • 内訳(NOC 約190個、Pod 約50個)
ShowNet 2021における セキュリティの課題
Copyright © Interop Tokyo 2021 ShowNet NOC Team 昨今の情勢によるIT環境の変化 • 働き⽅改⾰ • クラウドシフト • モバイルファースト • Covid-19による テレワーク環境整備
Copyright © Interop Tokyo 2021 ShowNet NOC Team これまでのShowNetの構築と運⽤ Interoperability(相互接続) • 幕張メッセで相互接続試験 • Hot Stage合わせて2週間の現地滞在 • 現地集合、現地作業 • インターネットからの接続不許可 • 認証・認可は装置ごとに設定 • 会期中は各ブースにサービス提供
Copyright © Interop Tokyo 2021 ShowNet NOC Team パンデミックが業界の流れを加速 幕張メッセ クラウドA クラウドB ⾃宅 ⾃宅
Copyright © Interop Tokyo 2021 ShowNet NOC Team 全てがひとつの場所に固定しない時代 Operation at Messe Operation from Home Operation from anywhere エリア・場所・境界セキュリティ エンドポイント・ZTA
Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソースの再配置と分散 Cafe オンプレミスデータセンタ
Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetの環境変化へのチャレンジ Work from anywhere Work from Home 法的制限や会社のルールに よって参加が困難 利⽤者の延べ⼈数が 500⼈近い規模 継続した安定運⽤ 冗⻑性の確保 認証認可の⼀元化 統⼀したセキュリ ティポリシの適⽤ 幕張メッセ
Copyright © Interop Tokyo 2021 ShowNet NOC Team ひとつのアーキテクチャで守るのではなく、 個々のトランザクションを検証 ゼロトラストは「戦術」であり、「戦術」はコピーできない ゼロトラストの原則 すべてのデータソースとコンピューティングサービスをリソースとみなす ネットワークロケーションにかかわらず、すべての通信を保護する すべてのリソースの認証と承認は、アクセスが許可される前に動的・厳密に実施する リソースへのアクセスをセッション単位に許可する リソースへのアクセスを、動的ポリシーによって決定する 所有または関連するすべての資産の⽣合成とセキュリティ体制を監視し評価する 資産、ネットワークインフラ、通信の現在の状況を可能な限り多くの情報を収集し、セキュ リティ体制を改善する ゼロトラストをShowNetに適⽤
Copyright © Interop Tokyo 2021 ShowNet NOC Team Zero Trust Architecture at ShowNet ワークロード エンドポイント ネットワーク ID クラウド 守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security
ShowNet 2021における ゼロトラストモデルの適⽤
Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソース保護のための継続的な検証と評価 • ShowNetにおけるリソースとは • トラフィック に含まれるデータ • 使われるアプリケーション • デバイス • NOC / STM / コントリビュータの端末 • 出展社ブースに接続された端末 • 来場者向けWi-Fiに接続された端末 • 全てのデータソースとコンピューティングサービスを リソースとみなす
Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御 守るべきリソース保護のための継続的な検証と評価 • ShowNetをリモートから安全に構築・管 理・運⽤するためのアクセス⽅法の⼀つ として、AppGate SDP(Software- Defined Perimeter)を使⽤ • SDPでは、リモート端末が保護されたリ ソースにアクセスする際に、コントロー ラ側で定義されたポリシーによって動的 に接続の可否を判定し、セッション情報 を記録する • これにより、アクセスできるリソースを ユーザや端末の状況から動的に制御でき、 適切なセキュリティポリシーを継続して 適⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの 検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述
Copyright © Interop Tokyo 2021 ShowNet NOC Team オペレータ端末へのエンドポイントセキュリティ 守るべきリソース保護のための継続的な検証と評価 • オペレータ端末においてインシデントが発⽣した際に侵害の痕跡を追跡するた めにエンドポイント製品を導⼊ • EDRによるリモートライブフォレンジック • BAS製品による模擬攻撃の検出テストを実施 • 導⼊したエンドポイント製品 • Cortex XDR • FortiEDR • Xensor Agent Operator EDR 管理コンソール ②全端末に対して スキャン指⽰ Agent ⼆次感染端末 ①⼆次感染マルウェア の検知アラート 正常端末 ⼀次感染端末 Agent ③スキャン実⾏ ④⼀次感染端末を検出
リモートワークとマルチクラウド環境に ⼀貫した動的セキュリティポリシの適⽤
Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスの提供 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • リモートからShowNetへ安全にアクセ スするための⽅法の⼀つとして、 Prisma AccessによるSASE(Secure Access Service Edge)を⽤いたリモー トアクセスを提供 • リモート端末からのインターネット及び ShowNetへの通信をSASEに集約し、セ キュリティ機能を適⽤することにより、 端末を脅威から保護すると同時に、通信 トラフィックを継続的に監視 • セキュリティ上の問題が発⽣した場合、 SASE側で通信を制御することにより、 リソースを不正なアクセスから保護する ことが可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセス インターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall
Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドの セキュリティポリシ監視 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator
⼀元的な認証認可による リソースの保護
Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証 ⼀元的な認証認可によるリソースの保護 • ShowNetのリソースに対してリモートから のアクセスを提供するに際して、適切な認証 と、リソースへのアクセス認可を実施する必 要がある • ShowNetの運⽤データベースであるTTDBに SAML認証の仕組みを実装することで、実際 に運⽤・管理を実施するNOC及びコントリ ビュータのユーザ管理と認証を⼀元的に実施 • NOC側で個別にアクセス許可を⾏うことに より、リソースへのアクセスを必要なユーザ に対してのみ提供することが可能となった ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可 ユーザへのアクセスを許可 NOC SASE SDP VPN 作った⼈
Copyright © Interop Tokyo 2021 ShowNet NOC Team 多要素認証によるなりすまし防⽌ ⼀元的な認証認可によるリソースの保護 • TTDBによる認証の⼀元化 に加えて、Cisco Duo によ る⼆要素認証を必須とし、 モバイルデバイスを⽤いた 追加認証を実施 • これにより、本⼈からのア クセスであることを確認し、 ユーザの使い回しやなりす ましを防⽌
Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ ト ー ク ン ⑩ リソースへアクセス ShowNetへのリモートアクセス(SDP + MFA)
Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス(SASE + MFA) TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP
サービス提供事業者としての セキュリティの取り組み
Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet 2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker
Copyright © Interop Tokyo 2021 ShowNet NOC Team セキュリティサービスの提供 • NGFW / Sandboxによりリアルタイム で 脅威を遮断するセキュリティサービスを 100Gインラインで接続 • 2台のアプライアンスでホール毎に出展社 ブーストラフィックをSymmetricに監視 • Hall 3, Hall 4, 来場者向けWi-Fi • PA-5280 and WildFire • Hall 5, Hall 6, ShowNet⽣活⽤NW • FortiGate 4401F and FortiSandbox
Copyright © Interop Tokyo 2021 ShowNet NOC Team • FortiGate4401f / FortiAI / FortiNAC • PA-5260 / IoTセキュリティサービス • DAMBALLA • Check Point Security Appliances / Check Point SandBlast • TiFRONT • Stealthwatch • Threat Wall • NSX NDR ネットワークトラフィックの解析と対応 集約 重複排除 分配 EXA48600 Vision X Flex TAP トラフィック複製 脅威検出 Synesis ネットワークフォレンジック Operator インシデント対応 相関分析 検知アラート NIRVANA改弐
Copyright © Interop Tokyo 2021 ShowNet NOC Team スレットインテリジェンスを活⽤した プロアクティブな脅威検出 • TIPとSIEMの連携 • アラート / ログに対するサイバー攻撃の痕跡調査と対処 • Interop Tokyo / ShowNetのクレデンシャルリーク タイポスクワッディングの監視 EXIST AutoFocus Recorded Future CyberTotal VMware Threat Intelligence CURE NIRVANA改弐 Endpoint Security Security Appliances xFlow TI / SIEM連携 Feed / API Alert / Log セキュリティリサーチャ による脅威レポート サイバー攻撃キャン ペーンの IoC / TTPs ShowNet外部の脅威監視
Copyright © Interop Tokyo 2021 ShowNet NOC Team インシデント未然防⽌のための脆弱性検査 • ShowNet内外から脆弱性スキャナによる検査を実施 • ⾒つかった脆弱性は本番運⽤前に対処を実施 Nessus Scanner Nessus Scanner Nessus Scanner Nessus Scanner x4 Tenable.io ob-mgmt mgmt global-life Skybox private-life ShowNet global Internet Cloud global Cloud mgmt VPN
Copyright © Interop Tokyo 2021 ShowNet NOC Team 管理ネットワークへの脆弱性スキャンと対処 • 管理ポートが脆弱な設定と なっている機器を多数発⾒ • 設定項⽬がなく、根本対処が できない機器も • ベンダにフィードバックし、 修正を依頼 • 上位のFWでフィルタできる 機器は個別に暫定対策を実施
Copyright © Interop Tokyo 2021 ShowNet NOC Team shownet.conf_開催決定 • shownet.conf_とは • 2017年から開催している、その年に構築したShowNetについ てNOCチームメンバーが解説するカンファレンス • 2021年は下記の⽇程でオンライン開催 • 4⽉22⽇ shownet.conf_mini • https://www.interop.jp/shownet/point/ • 6⽉23⽇ shownet.conf_ • https://f2ff.jp/event/int-2021-conf
Copyright © Interop Tokyo 2021 ShowNet NOC Team ご協⼒企業様(五⼗⾳順)
2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar

More Related Content

PDF
ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 Wi-Fi_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 歩き方
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet 2021 みどころ解説_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
PDF
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 Security_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
What is ztna using hip what is secure remote access how do you respond to att...
Takuma Miki
 
ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 Wi-Fi_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 歩き方
Interop Tokyo ShowNet NOC Team
 
ShowNet 2021 みどころ解説_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 Security_parapara
Interop Tokyo ShowNet NOC Team
 
What is ztna using hip what is secure remote access how do you respond to att...
Takuma Miki
 

What's hot (20)

PDF
Hipとは?
Takuma Miki
 
PDF
2022のShowNetに向けて_ShowNet2021_conf_mini_5_2022_stm
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_shownet.conf_mini_3
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
Interop Tokyo ShowNet NOC Team
 
PPTX
2016-ShowNetステージ-ShowNetを守るセキュリティ
Interop Tokyo ShowNet NOC Team
 
PDF
IoT関連技術の動向 Sep-2013
Shoichi Sakane
 
PDF
ShowNet2021が取り組んだ分野~Face the Future~ShowNet2021_conf_mini_2
Interop Tokyo ShowNet NOC Team
 
PPTX
2016-ShowNetステージ-バックボーンの機能としてのSDN/NFV
Interop Tokyo ShowNet NOC Team
 
PDF
【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション
シスコシステムズ合同会社
 
PDF
ShowNet のクラウドよもやま話_ShowNet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
PDF
エンジニアコミュニティ支援制度「NiFcLounge」のご紹介
富士通クラウドテクノロジーズ株式会社
 
PDF
IETF94 IoT関連WG報告
Shoichi Sakane
 
PDF
2021 hip (host identity protocol)とは? tempered airwall
Takuma Miki
 
PDF
ShowNet2021 facility&tranport_sideview
Interop Tokyo ShowNet NOC Team
 
PDF
SORACOM Technology Camp 2018 | B2. 通信モジュール内蔵デバイス制作のための心構え
SORACOM,INC
 
PDF
主要Io t通信規格と認証方式
Ryosuke Uematsu
 
PPTX
2016-ShowNetステージ-データセンタファシリティ
Interop Tokyo ShowNet NOC Team
 
PDF
IoTSecJP_Version5.0_LTEデバイスのセキュリティ診断3ステップ
Ryosuke Uematsu
 
PDF
【Interop Tokyo 2016】 Cisco IoT (展示内容紹介)
シスコシステムズ合同会社
 
Hipとは?
Takuma Miki
 
2022のShowNetに向けて_ShowNet2021_conf_mini_5_2022_stm
Interop Tokyo ShowNet NOC Team
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
Interop Tokyo ShowNet NOC Team
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_shownet.conf_mini_3
Interop Tokyo ShowNet NOC Team
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
Interop Tokyo ShowNet NOC Team
 
2016-ShowNetステージ-ShowNetを守るセキュリティ
Interop Tokyo ShowNet NOC Team
 
IoT関連技術の動向 Sep-2013
Shoichi Sakane
 
ShowNet2021が取り組んだ分野~Face the Future~ShowNet2021_conf_mini_2
Interop Tokyo ShowNet NOC Team
 
2016-ShowNetステージ-バックボーンの機能としてのSDN/NFV
Interop Tokyo ShowNet NOC Team
 
【Interop Tokyo 2016】 Cisco だからできる!セキュア コラボレーション
シスコシステムズ合同会社
 
ShowNet のクラウドよもやま話_ShowNet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
エンジニアコミュニティ支援制度「NiFcLounge」のご紹介
富士通クラウドテクノロジーズ株式会社
 
IETF94 IoT関連WG報告
Shoichi Sakane
 
2021 hip (host identity protocol)とは? tempered airwall
Takuma Miki
 
ShowNet2021 facility&tranport_sideview
Interop Tokyo ShowNet NOC Team
 
SORACOM Technology Camp 2018 | B2. 通信モジュール内蔵デバイス制作のための心構え
SORACOM,INC
 
主要Io t通信規格と認証方式
Ryosuke Uematsu
 
2016-ShowNetステージ-データセンタファシリティ
Interop Tokyo ShowNet NOC Team
 
IoTSecJP_Version5.0_LTEデバイスのセキュリティ診断3ステップ
Ryosuke Uematsu
 
【Interop Tokyo 2016】 Cisco IoT (展示内容紹介)
シスコシステムズ合同会社
 
Ad

Similar to 2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar (20)

PPTX
2016-ShowNet-報告資料
Interop Tokyo ShowNet NOC Team
 
PDF
今年の見どころ_ShowNet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
PDF
今年の見どころ_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
PDF
今年の見どころ_ShowNet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
PPTX
2016-ShowNetステージ-ShowNetのみどころ
Interop Tokyo ShowNet NOC Team
 
PDF
若手エンジニアが躍動!次世代を担うボランティア集団とNOC発掘プログラム_Shownet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
PPTX
2015-ShowNet -DDoS/IX/BGPFlowspec/External
Interop Tokyo ShowNet NOC Team
 
PPTX
2015-ShowNet-報告資料
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 モニタリング_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
PPTX
2015-ShowNet-Tester/IoT
Interop Tokyo ShowNet NOC Team
 
PDF
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
シスコシステムズ合同会社
 
PPTX
2016-ShowNetステージ-モニタリング
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetをオンラインで見せる。オンラインでオペレーションする_ShowNet2021_conf_mini_4_pr-remote_ope
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 mon_sideview
Interop Tokyo ShowNet NOC Team
 
PPTX
2016-ShowNet-テスター
Interop Tokyo ShowNet NOC Team
 
PDF
NIST Cybersecurity Framework 概要
You&I
 
PPTX
2015-ShowNetステージ-ファシリティ
Interop Tokyo ShowNet NOC Team
 
PPTX
2015-ShowNetステージ-BGPFlowspec
Interop Tokyo ShowNet NOC Team
 
PDF
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
Juniper Networks (日本)
 
2016-ShowNet-報告資料
Interop Tokyo ShowNet NOC Team
 
今年の見どころ_ShowNet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
今年の見どころ_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
今年の見どころ_ShowNet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
2016-ShowNetステージ-ShowNetのみどころ
Interop Tokyo ShowNet NOC Team
 
若手エンジニアが躍動!次世代を担うボランティア集団とNOC発掘プログラム_Shownet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
2015-ShowNet -DDoS/IX/BGPFlowspec/External
Interop Tokyo ShowNet NOC Team
 
2015-ShowNet-報告資料
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 モニタリング_parapara
Interop Tokyo ShowNet NOC Team
 
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
2015-ShowNet-Tester/IoT
Interop Tokyo ShowNet NOC Team
 
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
シスコシステムズ合同会社
 
2016-ShowNetステージ-モニタリング
Interop Tokyo ShowNet NOC Team
 
ShowNetをオンラインで見せる。オンラインでオペレーションする_ShowNet2021_conf_mini_4_pr-remote_ope
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 mon_sideview
Interop Tokyo ShowNet NOC Team
 
2016-ShowNet-テスター
Interop Tokyo ShowNet NOC Team
 
NIST Cybersecurity Framework 概要
You&I
 
2015-ShowNetステージ-ファシリティ
Interop Tokyo ShowNet NOC Team
 
2015-ShowNetステージ-BGPFlowspec
Interop Tokyo ShowNet NOC Team
 
【Interop Tokyo 2016】 東京大学におけるジュニパーネットワークス機器の導入
Juniper Networks (日本)
 
Ad

More from Interop Tokyo ShowNet NOC Team (16)

PDF
ShowNet2021 トポロジ
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 external_sideview
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 cloud_sideview
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 external_cloud_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 DC_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 DC_parapara_noc14
Interop Tokyo ShowNet NOC Team
 
PDF
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 伝送_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 テスタ_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 L2/L3_srv6_gu_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 L2/L3_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 ファシリティ_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
オンプレ/クラウド連携と柔軟なストレージで実現する高信頼サービス_Shownet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetヒストリートークセッション_ShowNet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
PDF
光が分離する論理トポロジーと伝送技術_Shownet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 エクスターナル図_e-web
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 トポロジ
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 external_sideview
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 cloud_sideview
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 external_cloud_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 DC_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 DC_parapara_noc14
Interop Tokyo ShowNet NOC Team
 
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 伝送_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 テスタ_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 L2/L3_srv6_gu_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 L2/L3_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 ファシリティ_parapara
Interop Tokyo ShowNet NOC Team
 
オンプレ/クラウド連携と柔軟なストレージで実現する高信頼サービス_Shownet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
ShowNetヒストリートークセッション_ShowNet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
光が分離する論理トポロジーと伝送技術_Shownet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 エクスターナル図_e-web
Interop Tokyo ShowNet NOC Team
 

2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar

  • 1. ShowNet 2021 ゼロトラストモデルによる 次世代セキュリティアーキテクチャ Interop Tokyo 2021 ShowNet NOCチームメンバ セキュリティ担当 神宮 真⼈ (情報通信研究機構) 橋本 賢⼀郎(ヴイエムウェア) 明⽯ 邦夫 (東京⼤学) 清⽔ ⼀貴 (ジュニパーネットワークス)
  • 2. Copyright © Interop Tokyo 2021 ShowNet NOC Team アジェンダ •ShowNetとは •ShowNet 2021におけるセキュリティの課題 •ShowNetにおけるゼロトラストモデルの適⽤ •サービス提供事業者としてのセキュリティの 取り組み
  • 4. Copyright © Interop Tokyo 2021 ShowNet NOC Team Interop Tokyo • 世界最⼤のネットワーク機器と技術の展⽰会 • 1986年⽶国モントレで開催されたカンファレンスイベント 「TCP/IP Vendors Workshop」が始まり • ⽇本では毎年6⽉に幕張メッセで開催 • 来場者約14万⼈
  • 5. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetとは︖ • 産業界、学術界、研究機関から集まるトップエンジニア実施する世界最⼤級 のライブデモンストレーションプロジェクト • 2年後、3年後に業界に浸透する技術を先駆けて挑戦 • 世界、国内で初披露(実稼働)される新製品も実装 • 最新技術を実装しながら安定したサービスを出展ブース・来場者に提供 • Interop Tokyoが唯⼀、開催当初のスピリットを継承 • 産学官から集まったNOCチームメンバーと、機器やサービスを提供するコン トリビュータ、⼀般から公募するボランティア「STM」の三位⼀体で構築 Interop と ShowNetについて
  • 6. Copyright © Interop Tokyo 2021 ShowNet NOC Team
  • 7. Copyright © Interop Tokyo 2021 ShowNet NOC Team ネットワークの規模 • コントリビューション機器/製品/サービス台数︓約1500台 • 動員数(のべ) ︓368名 • NOCチームメンバー ︓30名 • STM/CTM ︓33名 • コントリビュータ ︓305名 • UTP総延⻑︓約21.0km 光ファイバー総延⻑︓約5.5km • NOCラック及びPod総電気容量 100V:約140.0kW 200V:約66.0kW • 内訳(NOC 100V:約115.0kW 200V:約62.0kW、Pod 100V:約25.0kW 200V約4.0kW) • NOCラック及びPod総コンセント数(100V,200V含む):約240個 • 内訳(NOC 約190個、Pod 約50個)
  • 9. Copyright © Interop Tokyo 2021 ShowNet NOC Team 昨今の情勢によるIT環境の変化 • 働き⽅改⾰ • クラウドシフト • モバイルファースト • Covid-19による テレワーク環境整備
  • 10. Copyright © Interop Tokyo 2021 ShowNet NOC Team これまでのShowNetの構築と運⽤ Interoperability(相互接続) • 幕張メッセで相互接続試験 • Hot Stage合わせて2週間の現地滞在 • 現地集合、現地作業 • インターネットからの接続不許可 • 認証・認可は装置ごとに設定 • 会期中は各ブースにサービス提供
  • 11. Copyright © Interop Tokyo 2021 ShowNet NOC Team パンデミックが業界の流れを加速 幕張メッセ クラウドA クラウドB ⾃宅 ⾃宅
  • 12. Copyright © Interop Tokyo 2021 ShowNet NOC Team 全てがひとつの場所に固定しない時代 Operation at Messe Operation from Home Operation from anywhere エリア・場所・境界セキュリティ エンドポイント・ZTA
  • 13. Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソースの再配置と分散 Cafe オンプレミスデータセンタ
  • 14. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetの環境変化へのチャレンジ Work from anywhere Work from Home 法的制限や会社のルールに よって参加が困難 利⽤者の延べ⼈数が 500⼈近い規模 継続した安定運⽤ 冗⻑性の確保 認証認可の⼀元化 統⼀したセキュリ ティポリシの適⽤ 幕張メッセ
  • 15. Copyright © Interop Tokyo 2021 ShowNet NOC Team ひとつのアーキテクチャで守るのではなく、 個々のトランザクションを検証 ゼロトラストは「戦術」であり、「戦術」はコピーできない ゼロトラストの原則 すべてのデータソースとコンピューティングサービスをリソースとみなす ネットワークロケーションにかかわらず、すべての通信を保護する すべてのリソースの認証と承認は、アクセスが許可される前に動的・厳密に実施する リソースへのアクセスをセッション単位に許可する リソースへのアクセスを、動的ポリシーによって決定する 所有または関連するすべての資産の⽣合成とセキュリティ体制を監視し評価する 資産、ネットワークインフラ、通信の現在の状況を可能な限り多くの情報を収集し、セキュ リティ体制を改善する ゼロトラストをShowNetに適⽤
  • 16. Copyright © Interop Tokyo 2021 ShowNet NOC Team Zero Trust Architecture at ShowNet ワークロード エンドポイント ネットワーク ID クラウド 守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security
  • 18. Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソース保護のための継続的な検証と評価 • ShowNetにおけるリソースとは • トラフィック に含まれるデータ • 使われるアプリケーション • デバイス • NOC / STM / コントリビュータの端末 • 出展社ブースに接続された端末 • 来場者向けWi-Fiに接続された端末 • 全てのデータソースとコンピューティングサービスを リソースとみなす
  • 19. Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御 守るべきリソース保護のための継続的な検証と評価 • ShowNetをリモートから安全に構築・管 理・運⽤するためのアクセス⽅法の⼀つ として、AppGate SDP(Software- Defined Perimeter)を使⽤ • SDPでは、リモート端末が保護されたリ ソースにアクセスする際に、コントロー ラ側で定義されたポリシーによって動的 に接続の可否を判定し、セッション情報 を記録する • これにより、アクセスできるリソースを ユーザや端末の状況から動的に制御でき、 適切なセキュリティポリシーを継続して 適⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの 検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述
  • 20. Copyright © Interop Tokyo 2021 ShowNet NOC Team オペレータ端末へのエンドポイントセキュリティ 守るべきリソース保護のための継続的な検証と評価 • オペレータ端末においてインシデントが発⽣した際に侵害の痕跡を追跡するた めにエンドポイント製品を導⼊ • EDRによるリモートライブフォレンジック • BAS製品による模擬攻撃の検出テストを実施 • 導⼊したエンドポイント製品 • Cortex XDR • FortiEDR • Xensor Agent Operator EDR 管理コンソール ②全端末に対して スキャン指⽰ Agent ⼆次感染端末 ①⼆次感染マルウェア の検知アラート 正常端末 ⼀次感染端末 Agent ③スキャン実⾏ ④⼀次感染端末を検出
  • 22. Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスの提供 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • リモートからShowNetへ安全にアクセ スするための⽅法の⼀つとして、 Prisma AccessによるSASE(Secure Access Service Edge)を⽤いたリモー トアクセスを提供 • リモート端末からのインターネット及び ShowNetへの通信をSASEに集約し、セ キュリティ機能を適⽤することにより、 端末を脅威から保護すると同時に、通信 トラフィックを継続的に監視 • セキュリティ上の問題が発⽣した場合、 SASE側で通信を制御することにより、 リソースを不正なアクセスから保護する ことが可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセス インターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall
  • 23. Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドの セキュリティポリシ監視 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator
  • 25. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証 ⼀元的な認証認可によるリソースの保護 • ShowNetのリソースに対してリモートから のアクセスを提供するに際して、適切な認証 と、リソースへのアクセス認可を実施する必 要がある • ShowNetの運⽤データベースであるTTDBに SAML認証の仕組みを実装することで、実際 に運⽤・管理を実施するNOC及びコントリ ビュータのユーザ管理と認証を⼀元的に実施 • NOC側で個別にアクセス許可を⾏うことに より、リソースへのアクセスを必要なユーザ に対してのみ提供することが可能となった ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可 ユーザへのアクセスを許可 NOC SASE SDP VPN 作った⼈
  • 26. Copyright © Interop Tokyo 2021 ShowNet NOC Team 多要素認証によるなりすまし防⽌ ⼀元的な認証認可によるリソースの保護 • TTDBによる認証の⼀元化 に加えて、Cisco Duo によ る⼆要素認証を必須とし、 モバイルデバイスを⽤いた 追加認証を実施 • これにより、本⼈からのア クセスであることを確認し、 ユーザの使い回しやなりす ましを防⽌
  • 27. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ ト ー ク ン ⑩ リソースへアクセス ShowNetへのリモートアクセス(SDP + MFA)
  • 28. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス(SASE + MFA) TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP
  • 30. Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet 2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker
  • 31. Copyright © Interop Tokyo 2021 ShowNet NOC Team セキュリティサービスの提供 • NGFW / Sandboxによりリアルタイム で 脅威を遮断するセキュリティサービスを 100Gインラインで接続 • 2台のアプライアンスでホール毎に出展社 ブーストラフィックをSymmetricに監視 • Hall 3, Hall 4, 来場者向けWi-Fi • PA-5280 and WildFire • Hall 5, Hall 6, ShowNet⽣活⽤NW • FortiGate 4401F and FortiSandbox
  • 32. Copyright © Interop Tokyo 2021 ShowNet NOC Team • FortiGate4401f / FortiAI / FortiNAC • PA-5260 / IoTセキュリティサービス • DAMBALLA • Check Point Security Appliances / Check Point SandBlast • TiFRONT • Stealthwatch • Threat Wall • NSX NDR ネットワークトラフィックの解析と対応 集約 重複排除 分配 EXA48600 Vision X Flex TAP トラフィック複製 脅威検出 Synesis ネットワークフォレンジック Operator インシデント対応 相関分析 検知アラート NIRVANA改弐
  • 33. Copyright © Interop Tokyo 2021 ShowNet NOC Team スレットインテリジェンスを活⽤した プロアクティブな脅威検出 • TIPとSIEMの連携 • アラート / ログに対するサイバー攻撃の痕跡調査と対処 • Interop Tokyo / ShowNetのクレデンシャルリーク タイポスクワッディングの監視 EXIST AutoFocus Recorded Future CyberTotal VMware Threat Intelligence CURE NIRVANA改弐 Endpoint Security Security Appliances xFlow TI / SIEM連携 Feed / API Alert / Log セキュリティリサーチャ による脅威レポート サイバー攻撃キャン ペーンの IoC / TTPs ShowNet外部の脅威監視
  • 34. Copyright © Interop Tokyo 2021 ShowNet NOC Team インシデント未然防⽌のための脆弱性検査 • ShowNet内外から脆弱性スキャナによる検査を実施 • ⾒つかった脆弱性は本番運⽤前に対処を実施 Nessus Scanner Nessus Scanner Nessus Scanner Nessus Scanner x4 Tenable.io ob-mgmt mgmt global-life Skybox private-life ShowNet global Internet Cloud global Cloud mgmt VPN
  • 35. Copyright © Interop Tokyo 2021 ShowNet NOC Team 管理ネットワークへの脆弱性スキャンと対処 • 管理ポートが脆弱な設定と なっている機器を多数発⾒ • 設定項⽬がなく、根本対処が できない機器も • ベンダにフィードバックし、 修正を依頼 • 上位のFWでフィルタできる 機器は個別に暫定対策を実施
  • 36. Copyright © Interop Tokyo 2021 ShowNet NOC Team shownet.conf_開催決定 • shownet.conf_とは • 2017年から開催している、その年に構築したShowNetについ てNOCチームメンバーが解説するカンファレンス • 2021年は下記の⽇程でオンライン開催 • 4⽉22⽇ shownet.conf_mini • https://www.interop.jp/shownet/point/ • 6⽉23⽇ shownet.conf_ • https://f2ff.jp/event/int-2021-conf
  • 37. Copyright © Interop Tokyo 2021 ShowNet NOC Team ご協⼒企業様(五⼗⾳順)