SlideShare a Scribd company logo

ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 studio 20210414

Interop Tokyo ShowNet NOC Team, profile picture
Interop Tokyo ShowNet NOC Team

ShowNet 2021 スタジオ講演 ゼロトラストモデルによる次世代セキュリティアーキテクチャ ShowNet NOCチームメンバー 神宮 真人

Internet
1 of 25
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
ShowNet 2021 ゼロトラストモデルによる 次世代セキュリティアーキテクチャ Interop Tokyo 2021 ShowNet NOCチームメンバ セキュリティ担当 神宮 真⼈ (情報通信研究機構) 橋本 賢⼀郎(ヴイエムウェア) 明⽯ 邦夫 (東京⼤学) 清⽔ ⼀貴 (ジュニパーネットワークス)
Copyright © Interop Tokyo 2021 ShowNet NOC Team アジェンダ •ShowNetとは •ShowNetにおけるセキュリティの課題 •2021年 ShowNetセキュリティ対策概要 •ShowNetにおけるゼロトラストモデルの適⽤
ShowNet とは
Copyright © Interop Tokyo 2021 ShowNet NOC Team Interop Tokyo • 世界最⼤のネットワーク機器と技術の展⽰会 • 1986年⽶国モントレで開催されたカンファレンスイベント 「TCP/IP Vendors Workshop」が始まり • ⽇本では毎年6⽉に幕張メッセで開催 • 来場者約14万⼈
Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetとは︖ Interop と ShowNetについて • 産業界、学術界、研究機関から集まるトップエンジニア実施する世界最⼤級の ライブデモンストレーションプロジェクト • 2年後、3年後に業界に浸透する技術を先駆けて挑戦 • 世界、国内で初披露(実稼働)される新製品も実装 • 最新技術を実装しながら安定したサービスを出展ブース・来場者に提供 • Interop Tokyoが唯⼀、開催当初のスピリットを継承 • 産学官から集まったNOCチームメンバーと、機器やサービスを提供するコン トリビュータ、⼀般から公募するボランティア「STM」の三位⼀体で構築
Copyright © Interop Tokyo 2021 ShowNet NOC Team
ShowNet 2021における セキュリティの課題
Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetの環境変化へのチャレンジ Work from anywhere Work from Home 法的制限や会社のルールに よって参加が困難 利⽤者の延べ⼈数が 500⼈近い規模 継続した安定運⽤ 冗⻑性の確保 認証認可の⼀元化 統⼀したセキュリ ティポリシの適⽤
Copyright © Interop Tokyo 2021 ShowNet NOC Team ひとつのアーキテクチャで守るのではなく、 個々のトランザクションを検証 ゼロトラストは「戦術」であり、「戦術」はコピーできない ゼロトラストの原則 すべてのデータソースとコンピューティングサービスをリソースとみなす ネットワークロケーションにかかわらず、すべての通信を保護する すべてのリソースの認証と承認は、アクセスが許可される前に動的・厳密に実施する リソースへのアクセスをセッション単位に許可する リソースへのアクセスを、動的ポリシーによって決定する 所有または関連するすべての資産の⽣合成とセキュリティ体制を監視し評価する 資産、ネットワークインフラ、通信の現在の状況を可能な限り多くの情報を収集し、セキュ リティ体制を改善する ゼロトラストをShowNetに適⽤
Copyright © Interop Tokyo 2021 ShowNet NOC Team Zero Trust Architecture at ShowNet ワークロード エンドポイント ネットワーク ID クラウド 守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security
ShowNetにおける ゼロトラストモデルの適⽤
Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソース保護のための継続的な検証と評価 • ShowNetにおけるリソースとは • トラフィック に含まれるデータ • 使われるアプリケーション • デバイス • NOC / STM / コントリビュータの端末 • 出展社ブースに接続された端末 • 来場者向けWi-Fiに接続された端末 • 全てのデータソースとコンピューティングサービスを リソースとみなす
Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御 守るべきリソース保護のための継続的な検証と評価 • ShowNetをリモートから安全に構築・管 理・運⽤するためのアクセス⽅法の⼀つと して、AppGate SDP(Software-Defined Perimeter)を使⽤ • SDPでは、リモート端末が保護されたリ ソースにアクセスする際に、コントローラ 側で定義されたポリシーによって動的に接 続の可否を判定し、セッション情報を記録 する • これにより、アクセスできるリソースを ユーザや端末の状況から動的に制御でき、 適切なセキュリティポリシーを継続して適 ⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの 検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述
Copyright © Interop Tokyo 2021 ShowNet NOC Team • オペレータ端末においてインシデントが発⽣した際に侵害の痕跡を追跡するた めにエンドポイント製品を導⼊ • EDRによるリモートライブフォレンジック • BAS製品による模擬攻撃の検出テストを実施 • 導⼊したエンドポイント製品 • Cortex XDR • FortiEDR • Xensor Agent オペレータ端末へのエンドポイントセキュリティ 守るべきリソース保護のための継続的な検証と評価 Operator EDR 管理コンソール ②全端末に対して スキャン指⽰ Agent ⼆次感染端末 ①⼆次感染マルウェア の検知アラート 正常端末 ⼀次感染端末 Agent ③スキャン実⾏ ④⼀次感染端末を検出
Copyright © Interop Tokyo 2021 ShowNet NOC Team リモートワークとマルチクラウド環境に ⼀貫した動的セキュリティポリシの適⽤
Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスの提供 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • リモートからShowNetへ安全にアクセス するための⽅法の⼀つとして、Prisma AccessによるSASE(Secure Access Service Edge)を⽤いたリモートアクセス を提供 • リモート端末からのインターネット及び ShowNetへの通信をSASEに集約し、セ キュリティ機能を適⽤することにより、端 末を脅威から保護すると同時に、通信トラ フィックを継続的に監視 • セキュリティ上の問題が発⽣した場合、 SASE側で通信を制御することにより、リ ソースを不正なアクセスから保護すること が可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセス インターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall
Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドの セキュリティポリシ監視 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator
Copyright © Interop Tokyo 2021 ShowNet NOC Team ⼀元的な認証認可による リソースの保護
Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証 ⼀元的な認証認可によるリソースの保護 • ShowNetのリソースに対してリモートか らのアクセスを提供するに際して、適切な 認証と、リソースへのアクセス認可を実施 する必要がある • ShowNetの運⽤データベースであるTTDB にSAML認証の仕組みを実装することで、 実際に運⽤・管理を実施するNOC及びコン トリビュータのユーザ管理と認証を⼀元的 に実施 • NOC側で個別にアクセス許可を⾏うことに より、リソースへのアクセスを必要なユー ザに対してのみ提供することが可能となっ た ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可 ユーザへのアクセスを許可 NOC SASE SDP FortiGate
Copyright © Interop Tokyo 2021 ShowNet NOC Team 多要素認証によるなりすまし防⽌ ⼀元的な認証認可によるリソースの保護 • TTDBによる認証の⼀元化 に加えて、Cisco Duo によ る⼆要素認証を必須とし、 モバイルデバイスを⽤いた 追加認証を実施 • これにより、本⼈からのア クセスであることを確認し、 ユーザの使い回しやなりす ましを防⽌
Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ ト ー ク ン ⑩ リソースへアクセス ShowNetへのリモートアクセス(SDP + MFA)
Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス(SASE + MFA) TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP
Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet 2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker
Copyright © Interop Tokyo 2021 ShowNet NOC Team ご協⼒企業様(五⼗⾳順)
Copyright © Interop Tokyo 2021 ShowNet NOC Team

More Related Content

PDF
2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet 2021 みどころ解説_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 Wi-Fi_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 歩き方
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
Interop Tokyo ShowNet NOC Team
 
PDF
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 Security_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
2022のShowNetに向けて_ShowNet2021_conf_mini_5_2022_stm
Interop Tokyo ShowNet NOC Team
 
2021年度ShowNet ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
ShowNet 2021 みどころ解説_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 Wi-Fi_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 歩き方
Interop Tokyo ShowNet NOC Team
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
Interop Tokyo ShowNet NOC Team
 
2021年度ShowNetの作り方・コンセプトと設計思想_ShowNet2021 seminar
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 Security_parapara
Interop Tokyo ShowNet NOC Team
 
2022のShowNetに向けて_ShowNet2021_conf_mini_5_2022_stm
Interop Tokyo ShowNet NOC Team
 

What's hot (20)

PDF
What is ztna using hip what is secure remote access how do you respond to att...
Takuma Miki
 
PDF
ShowNet2021が取り組んだ分野~Face the Future~ShowNet2021_conf_mini_2
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_shownet.conf_mini_3
Interop Tokyo ShowNet NOC Team
 
PDF
Hipとは?
Takuma Miki
 
PDF
IoT関連技術の動向 Sep-2013
Shoichi Sakane
 
PDF
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
Interop Tokyo ShowNet NOC Team
 
PDF
IETF94 IoT関連WG報告
Shoichi Sakane
 
PDF
SORACOM Technology Camp 2018 | B2. 通信モジュール内蔵デバイス制作のための心構え
SORACOM,INC
 
PPTX
2016-ShowNetステージ-ShowNetを守るセキュリティ
Interop Tokyo ShowNet NOC Team
 
PPTX
2016-ShowNetステージ-バックボーンの機能としてのSDN/NFV
Interop Tokyo ShowNet NOC Team
 
PDF
IoTSecJP_Version5.0_LTEデバイスのセキュリティ診断3ステップ
Ryosuke Uematsu
 
PDF
ShowNet2021 facility&tranport_sideview
Interop Tokyo ShowNet NOC Team
 
PDF
4G LTE ネットワークの脆弱性 [LTEInspector_A Systematic Approach for Adversarial Testing...
Ryosuke Uematsu
 
PDF
主要Io t通信規格と認証方式
Ryosuke Uematsu
 
PDF
ShowNet のクラウドよもやま話_ShowNet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
PDF
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
シスコシステムズ合同会社
 
PDF
オープンソースからエンタープライズまで対応可能な新世代LoRaWANプラットフォーム"The Things Stack"とその活用事例
CRI Japan, Inc.
 
PDF
IoTSecJP Tokyo#4とあるセキュリティ会社の無線通信セキュリティ診断
Ryosuke Uematsu
 
PDF
2021 hip (host identity protocol)とは? tempered airwall
Takuma Miki
 
What is ztna using hip what is secure remote access how do you respond to att...
Takuma Miki
 
ShowNet2021が取り組んだ分野~Face the Future~ShowNet2021_conf_mini_2
Interop Tokyo ShowNet NOC Team
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_shownet.conf_mini_3
Interop Tokyo ShowNet NOC Team
 
Hipとは?
Takuma Miki
 
IoT関連技術の動向 Sep-2013
Shoichi Sakane
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
Interop Tokyo ShowNet NOC Team
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
Interop Tokyo ShowNet NOC Team
 
IETF94 IoT関連WG報告
Shoichi Sakane
 
SORACOM Technology Camp 2018 | B2. 通信モジュール内蔵デバイス制作のための心構え
SORACOM,INC
 
2016-ShowNetステージ-ShowNetを守るセキュリティ
Interop Tokyo ShowNet NOC Team
 
2016-ShowNetステージ-バックボーンの機能としてのSDN/NFV
Interop Tokyo ShowNet NOC Team
 
IoTSecJP_Version5.0_LTEデバイスのセキュリティ診断3ステップ
Ryosuke Uematsu
 
ShowNet2021 facility&tranport_sideview
Interop Tokyo ShowNet NOC Team
 
4G LTE ネットワークの脆弱性 [LTEInspector_A Systematic Approach for Adversarial Testing...
Ryosuke Uematsu
 
主要Io t通信規格と認証方式
Ryosuke Uematsu
 
ShowNet のクラウドよもやま話_ShowNet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
【Interop Tokyo 2016】 Seminar - EA-18 : 「Cisco の先進セキュリティ ソリューション」 Shownet 2016...
シスコシステムズ合同会社
 
オープンソースからエンタープライズまで対応可能な新世代LoRaWANプラットフォーム"The Things Stack"とその活用事例
CRI Japan, Inc.
 
IoTSecJP Tokyo#4とあるセキュリティ会社の無線通信セキュリティ診断
Ryosuke Uematsu
 
2021 hip (host identity protocol)とは? tempered airwall
Takuma Miki
 
Ad

Similar to ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 studio 20210414 (20)

PDF
今年の見どころ_ShowNet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
PDF
今年の見どころ_ShowNet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
PPTX
2016-ShowNetステージ-ShowNetのみどころ
Interop Tokyo ShowNet NOC Team
 
PDF
今年の見どころ_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetをオンラインで見せる。オンラインでオペレーションする_ShowNet2021_conf_mini_4_pr-remote_ope
Interop Tokyo ShowNet NOC Team
 
PPTX
2016-ShowNetステージ-モニタリング
Interop Tokyo ShowNet NOC Team
 
PDF
若手エンジニアが躍動!次世代を担うボランティア集団とNOC発掘プログラム_Shownet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
PDF
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
PPTX
2016-ShowNet-報告資料
Interop Tokyo ShowNet NOC Team
 
PDF
Sec gene pre_feb,2017
Takeo Sakaguchi ,CISSP,CISA
 
PDF
ShowNet2021 モニタリング_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ネットワークから学ぶソフトウェアセキュリティの基礎
Yasuo Ohgaki
 
PPTX
2015-ShowNet -DDoS/IX/BGPFlowspec/External
Interop Tokyo ShowNet NOC Team
 
PPTX
Need for NDR
Takeo Sakaguchi ,CISSP,CISA
 
PPTX
2015-ShowNet-報告資料
Interop Tokyo ShowNet NOC Team
 
PDF
[Japan Tech summit 2017] SEC 011
Microsoft Tech Summit 2017
 
PDF
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
 
PPTX
2015-ShowNet-Tester/IoT
Interop Tokyo ShowNet NOC Team
 
PDF
NIST Cybersecurity Framework 概要
You&I
 
PDF
Juniper Festa @ Interop Tokyo 2021
Juniper Networks (日本)
 
今年の見どころ_ShowNet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
今年の見どころ_ShowNet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
2016-ShowNetステージ-ShowNetのみどころ
Interop Tokyo ShowNet NOC Team
 
今年の見どころ_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
ShowNetをオンラインで見せる。オンラインでオペレーションする_ShowNet2021_conf_mini_4_pr-remote_ope
Interop Tokyo ShowNet NOC Team
 
2016-ShowNetステージ-モニタリング
Interop Tokyo ShowNet NOC Team
 
若手エンジニアが躍動!次世代を担うボランティア集団とNOC発掘プログラム_Shownet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
監視運用の省人化と高レジリエンスな監視システムの提供_ShowNet2021 studio 20210414
Interop Tokyo ShowNet NOC Team
 
2016-ShowNet-報告資料
Interop Tokyo ShowNet NOC Team
 
Sec gene pre_feb,2017
Takeo Sakaguchi ,CISSP,CISA
 
ShowNet2021 モニタリング_parapara
Interop Tokyo ShowNet NOC Team
 
ネットワークから学ぶソフトウェアセキュリティの基礎
Yasuo Ohgaki
 
2015-ShowNet -DDoS/IX/BGPFlowspec/External
Interop Tokyo ShowNet NOC Team
 
Need for NDR
Takeo Sakaguchi ,CISSP,CISA
 
2015-ShowNet-報告資料
Interop Tokyo ShowNet NOC Team
 
[Japan Tech summit 2017] SEC 011
Microsoft Tech Summit 2017
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
 
2015-ShowNet-Tester/IoT
Interop Tokyo ShowNet NOC Team
 
NIST Cybersecurity Framework 概要
You&I
 
Juniper Festa @ Interop Tokyo 2021
Juniper Networks (日本)
 
Ad

More from Interop Tokyo ShowNet NOC Team (17)

PDF
ShowNet2021 トポロジ
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 external_sideview
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 mon_sideview
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 cloud_sideview
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 external_cloud_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 DC_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 DC_parapara_noc14
Interop Tokyo ShowNet NOC Team
 
PDF
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 伝送_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 テスタ_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 L2/L3_srv6_gu_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 L2/L3_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 ファシリティ_parapara
Interop Tokyo ShowNet NOC Team
 
PDF
オンプレ/クラウド連携と柔軟なストレージで実現する高信頼サービス_Shownet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNetヒストリートークセッション_ShowNet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
PDF
光が分離する論理トポロジーと伝送技術_Shownet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
PDF
ShowNet2021 エクスターナル図_e-web
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 トポロジ
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 external_sideview
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 mon_sideview
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 cloud_sideview
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 external_cloud_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 DC_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 DC_parapara_noc14
Interop Tokyo ShowNet NOC Team
 
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 伝送_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 テスタ_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 L2/L3_srv6_gu_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 L2/L3_parapara
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 ファシリティ_parapara
Interop Tokyo ShowNet NOC Team
 
オンプレ/クラウド連携と柔軟なストレージで実現する高信頼サービス_Shownet2021 studio 20210416
Interop Tokyo ShowNet NOC Team
 
ShowNetヒストリートークセッション_ShowNet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
光が分離する論理トポロジーと伝送技術_Shownet2021 studio 20210415
Interop Tokyo ShowNet NOC Team
 
ShowNet2021 エクスターナル図_e-web
Interop Tokyo ShowNet NOC Team
 

ゼロトラストモデルによる次世代セキュリティアーキテクチャ_ShowNet2021 studio 20210414

  • 1. ShowNet 2021 ゼロトラストモデルによる 次世代セキュリティアーキテクチャ Interop Tokyo 2021 ShowNet NOCチームメンバ セキュリティ担当 神宮 真⼈ (情報通信研究機構) 橋本 賢⼀郎(ヴイエムウェア) 明⽯ 邦夫 (東京⼤学) 清⽔ ⼀貴 (ジュニパーネットワークス)
  • 2. Copyright © Interop Tokyo 2021 ShowNet NOC Team アジェンダ •ShowNetとは •ShowNetにおけるセキュリティの課題 •2021年 ShowNetセキュリティ対策概要 •ShowNetにおけるゼロトラストモデルの適⽤
  • 4. Copyright © Interop Tokyo 2021 ShowNet NOC Team Interop Tokyo • 世界最⼤のネットワーク機器と技術の展⽰会 • 1986年⽶国モントレで開催されたカンファレンスイベント 「TCP/IP Vendors Workshop」が始まり • ⽇本では毎年6⽉に幕張メッセで開催 • 来場者約14万⼈
  • 5. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetとは︖ Interop と ShowNetについて • 産業界、学術界、研究機関から集まるトップエンジニア実施する世界最⼤級の ライブデモンストレーションプロジェクト • 2年後、3年後に業界に浸透する技術を先駆けて挑戦 • 世界、国内で初披露(実稼働)される新製品も実装 • 最新技術を実装しながら安定したサービスを出展ブース・来場者に提供 • Interop Tokyoが唯⼀、開催当初のスピリットを継承 • 産学官から集まったNOCチームメンバーと、機器やサービスを提供するコン トリビュータ、⼀般から公募するボランティア「STM」の三位⼀体で構築
  • 6. Copyright © Interop Tokyo 2021 ShowNet NOC Team
  • 8. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetの環境変化へのチャレンジ Work from anywhere Work from Home 法的制限や会社のルールに よって参加が困難 利⽤者の延べ⼈数が 500⼈近い規模 継続した安定運⽤ 冗⻑性の確保 認証認可の⼀元化 統⼀したセキュリ ティポリシの適⽤
  • 9. Copyright © Interop Tokyo 2021 ShowNet NOC Team ひとつのアーキテクチャで守るのではなく、 個々のトランザクションを検証 ゼロトラストは「戦術」であり、「戦術」はコピーできない ゼロトラストの原則 すべてのデータソースとコンピューティングサービスをリソースとみなす ネットワークロケーションにかかわらず、すべての通信を保護する すべてのリソースの認証と承認は、アクセスが許可される前に動的・厳密に実施する リソースへのアクセスをセッション単位に許可する リソースへのアクセスを、動的ポリシーによって決定する 所有または関連するすべての資産の⽣合成とセキュリティ体制を監視し評価する 資産、ネットワークインフラ、通信の現在の状況を可能な限り多くの情報を収集し、セキュ リティ体制を改善する ゼロトラストをShowNetに適⽤
  • 10. Copyright © Interop Tokyo 2021 ShowNet NOC Team Zero Trust Architecture at ShowNet ワークロード エンドポイント ネットワーク ID クラウド 守るべきリソース SASE | SDP MFA | SDP EDR SD Security Cloud Security
  • 12. Copyright © Interop Tokyo 2021 ShowNet NOC Team 守るべきリソース保護のための継続的な検証と評価 • ShowNetにおけるリソースとは • トラフィック に含まれるデータ • 使われるアプリケーション • デバイス • NOC / STM / コントリビュータの端末 • 出展社ブースに接続された端末 • 来場者向けWi-Fiに接続された端末 • 全てのデータソースとコンピューティングサービスを リソースとみなす
  • 13. Copyright © Interop Tokyo 2021 ShowNet NOC Team SDPによるリモート端末の検証とアクセス制御 守るべきリソース保護のための継続的な検証と評価 • ShowNetをリモートから安全に構築・管 理・運⽤するためのアクセス⽅法の⼀つと して、AppGate SDP(Software-Defined Perimeter)を使⽤ • SDPでは、リモート端末が保護されたリ ソースにアクセスする際に、コントローラ 側で定義されたポリシーによって動的に接 続の可否を判定し、セッション情報を記録 する • これにより、アクセスできるリソースを ユーザや端末の状況から動的に制御でき、 適切なセキュリティポリシーを継続して適 ⽤可能 The Internet SDP Controller on Microsoft Azure ①認証リクエスト ③アクセス権情報を含むトークン ②資格情報・ユーザ・環境によるポリシーの判定 ⑤実際の保護されたリソースへの接続 ④トークンを⽤いた接続リクエスト ⑥継続的なポリシーの 検証と適⽤ SDP Gateway SDP Client ※ユーザの認証フローについては後述
  • 14. Copyright © Interop Tokyo 2021 ShowNet NOC Team • オペレータ端末においてインシデントが発⽣した際に侵害の痕跡を追跡するた めにエンドポイント製品を導⼊ • EDRによるリモートライブフォレンジック • BAS製品による模擬攻撃の検出テストを実施 • 導⼊したエンドポイント製品 • Cortex XDR • FortiEDR • Xensor Agent オペレータ端末へのエンドポイントセキュリティ 守るべきリソース保護のための継続的な検証と評価 Operator EDR 管理コンソール ②全端末に対して スキャン指⽰ Agent ⼆次感染端末 ①⼆次感染マルウェア の検知アラート 正常端末 ⼀次感染端末 Agent ③スキャン実⾏ ④⼀次感染端末を検出
  • 15. Copyright © Interop Tokyo 2021 ShowNet NOC Team リモートワークとマルチクラウド環境に ⼀貫した動的セキュリティポリシの適⽤
  • 16. Copyright © Interop Tokyo 2021 ShowNet NOC Team SASEによるセキュアアクセスの提供 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • リモートからShowNetへ安全にアクセス するための⽅法の⼀つとして、Prisma AccessによるSASE(Secure Access Service Edge)を⽤いたリモートアクセス を提供 • リモート端末からのインターネット及び ShowNetへの通信をSASEに集約し、セ キュリティ機能を適⽤することにより、端 末を脅威から保護すると同時に、通信トラ フィックを継続的に監視 • セキュリティ上の問題が発⽣した場合、 SASE側で通信を制御することにより、リ ソースを不正なアクセスから保護すること が可能 The Internet Prisma Access SASE SASEとの安全なVPN接続 VPNトンネル ShowNetリソースへのアクセス インターネットへの通信 ※ユーザの認証フローについては後述 PaloAlto Firewall
  • 17. Copyright © Interop Tokyo 2021 ShowNet NOC Team CSPM、フロー監視によるマルチクラウドの セキュリティポリシ監視 リモートワークとマルチクラウド環境に⼀貫した動的セキュリティポリシの適⽤ • マルチクラウド環境の⼀元管理 • クラウド基盤の設定を⾃動監視 • テレメトリ、ログを監視し振る舞い検知による脅威検出 Operator
  • 18. Copyright © Interop Tokyo 2021 ShowNet NOC Team ⼀元的な認証認可による リソースの保護
  • 19. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDBを中⼼としたSAML認証 ⼀元的な認証認可によるリソースの保護 • ShowNetのリソースに対してリモートか らのアクセスを提供するに際して、適切な 認証と、リソースへのアクセス認可を実施 する必要がある • ShowNetの運⽤データベースであるTTDB にSAML認証の仕組みを実装することで、 実際に運⽤・管理を実施するNOC及びコン トリビュータのユーザ管理と認証を⼀元的 に実施 • NOC側で個別にアクセス許可を⾏うことに より、リソースへのアクセスを必要なユー ザに対してのみ提供することが可能となっ た ①接続を要求 ②TTDBへリダイレクト ③認証 ④許可されたユーザのみアクセスを許可 ユーザへのアクセスを許可 NOC SASE SDP FortiGate
  • 20. Copyright © Interop Tokyo 2021 ShowNet NOC Team 多要素認証によるなりすまし防⽌ ⼀元的な認証認可によるリソースの保護 • TTDBによる認証の⼀元化 に加えて、Cisco Duo によ る⼆要素認証を必須とし、 モバイルデバイスを⽤いた 追加認証を実施 • これにより、本⼈からのア クセスであることを確認し、 ユーザの使い回しやなりす ましを防⽌
  • 21. Copyright © Interop Tokyo 2021 ShowNet NOC Team TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ ト ー ク ン ⑩ リソースへアクセス ShowNetへのリモートアクセス(SDP + MFA)
  • 22. Copyright © Interop Tokyo 2021 ShowNet NOC Team ShowNetへのリモートアクセス(SASE + MFA) TTDB PA-3250 SDP Gateway The Internet ① 認証リクエスト ② 認証リダイレクト ③ 認証 リダイレクト ④ 認証 ⑤ 認証成功 ⑥ 所 有 者 認 証 ( デ バ イ ス ) ⑦ 認 証 成 功 ⑧ 認証成功 ⑨ VPNでリソースへアクセス SASE Japan POP
  • 23. Copyright © Interop Tokyo 2021 ShowNet NOC Team The Internet 2021年ShowNet セキュリティ対策全体像 Darknet SDP MFA SASE Remote Operator VPN Multi -Cloud SAML IdP MFA Exhibitors Visitors Vuln Scanner Operator NGFW / Sandbox ❌ ❌ DDoS mitigation ❌ SIEM Security Appliances NAC Threat Intelligence EDR Network Forensic Operator Security Operation Cycle TAP Packet Broker
  • 24. Copyright © Interop Tokyo 2021 ShowNet NOC Team ご協⼒企業様(五⼗⾳順)
  • 25. Copyright © Interop Tokyo 2021 ShowNet NOC Team