203h20170919 nwsecurity morimoto 0.3.pptx)...監視、モニタ、変更、リリース実行...
TRANSCRIPT
© 2013 IBM Corporation
Design of Infrastructure of “as a service”
サービスプラットフォームのネットワークとセキュリティ
Sachiko Morimoto, Thought Leader, GTS, IBM Japan
September 2017
© 2013 IBM Corporation
Design of Infrastructure of “as a service”
サービスプラットフォームのインフラ
� インターネットを中心としたデジタルビジネスインフラストラクチャ
� As a Service インフラがサービスプラットフォームを実現する
� インターネットに開いたアーキテクチャのデータセンター
© 2016 IBM Corporation
IoT
企業ITインフラ企業ITインフラ企業ITインフラ企業ITインフラ
As a Serviceののののデジタルビジネスデジタルビジネスデジタルビジネスデジタルビジネス クラウドクラウドクラウドクラウド
サイバー・フィジカルサイバー・フィジカルサイバー・フィジカルサイバー・フィジカルIoT
サービスプラットフォーム SDEから自動化へ
ゼロ・トラストセキュリティ物理と仮想の接続・
モデル化
インターネット上で分散したユーザとサービスを接続し、ビジネスを⾏うためのプラットフォームがデジタルビジネスで活用されている。変更への迅速な対応と、仮想化世界を制御する技術が必要となっている。クラウドにより充実してきたxaaSのインフラ技術・システムの整備はデジタルビジネスを支援する環境の基礎となっている。
インターネットを中心としたデジタルビジネスインフラストラクチャ
インターネットインターネットインターネットインターネット
インターネットインターネットインターネットインターネット
作り手作り手作り手作り手 買い手買い手買い手買い手
提供者提供者提供者提供者
3
© 2016 IBM Corporation
ITプラットフォーム
As a Service インフラがサービスプラットフォームを実現する
クラウドコンピューティング環境がIaaS, PaaS、SaaSの基礎を提供した。SaaSやPaaSがデータの交換、フィードバックの環境を提供し、サービスプラットフォームによる付加価値の創造を進化させた。変更や運用の⾃動化も達成されることで、サービスの更改と拡張のスピードアップが達成されている。
IT Service Management
監視、モニタ、変更、リリース実行監視、モニタ、変更、リリース実行監視、モニタ、変更、リリース実行監視、モニタ、変更、リリース実行
ITインフラITインフラITインフラITインフラサーバー、ストレージ、ネットワークサーバー、ストレージ、ネットワークサーバー、ストレージ、ネットワークサーバー、ストレージ、ネットワーク
ソフトウェア機能ソフトウェア機能ソフトウェア機能ソフトウェア機能SWフレームワーク、共通機能フレームワーク、共通機能フレームワーク、共通機能フレームワーク、共通機能
ビジネスプロセスビジネスプロセスビジネスプロセスビジネスプロセスアプリケーションアプリケーションアプリケーションアプリケーション
Internet,,,,コグニティブ、コグニティブ、コグニティブ、コグニティブ、IoT,..
IaaS
PaaS
SaaSオープン
Software Defined
自動化
オーケストレーション
コード化
物理の仮想化
セキュリティ
インターネットインターネットインターネットインターネット
作り手作り手作り手作り手 買い手買い手買い手買い手
提供者提供者提供者提供者
サービスプラットフォームが求めるアジリティと分析機能への拡張性、インフラのフィードバック性を実現する
・学習と実装のサイクルの高速化・小さなリリースの繰り返し
サービスプラットフォーム
インフラの機能・特性
4
© 2016 IBM Corporation
IBM Watson
Data Lake
Client Insight Dashboards
ITaaS Environment
Client Workloads
Composable Services
Traditional IT Private Cloud Public Cloud
Design
Optimize
Manage
変化し続けるビジネス・ニーズに対応するためお客様のITaaS環境をアジャイルに組み⽴てます:
互換性があり組み合わせ可能なサービスをカタログ化しますIBM及びエコシステム・パートナーから提供される各種オファリングを素早く取り込み、共通機能を最大限に活用可能
適切なサービスの組み合わせをシームレスに統合し、スケールしますご要件に沿ったビジネス成果の実現
エンド・ツー・エンドでの管理・統制を実現します資産の無駄を排除
三つの目的に向けてWatsonは注⼒し、お客様の環境が常にオンであり、常にセキュアであり、常に改善し続けることを保証します:
優れたITソリューションのデザインより迅速かつ効果的にビジネス成果を引き出すため
ITオペレーションの管理環境が常に正常な状態で安定稼働するため
ITパフォーマンスの最適化ビジネス・アウトプットを継続的に改善するため
IBM Service Platform with Watson
5
© 2016 IBM Corporation
第一世代スペース
(不動産)
第二世代パワー
(電気と空調)
第三世代コミュニケーション
(通信回線)
第四世代サービスの相互接続
(クラウドサービス)
冗⻑化賃貸料災害対策設備コスト
高集積化発熱対策
IPネットワーク回線接続
インターネットクラウドサービス
クラウドサービス事業者
クラウドサービス事業者
インターネット
接続事業
IX相互接続クラウド
サービス事業者
⾃社データ
センター
高付加価値化
インターネットに開いたアーキテクチャのデータセンター
様々なクラウドサービスを接続するサービス・エクスチェンジを提供するエクイニクス
インターネットインターネットインターネットインターネット
作り手作り手作り手作り手 買い手買い手買い手買い手
提供者提供者提供者提供者
6
© 2013 IBM Corporation
Design of Infrastructure of “as a service”
インターネット・ネットワーキングサービスプラットフォームのネットワークデザイン
� インターネット接続の戦略的変化
� Software Defined Networkから⾃動化へ
© 2016 IBM Corporation
インターネットの形が変わる
Microsoft と Facebook が、大⻄洋に 160Tbps の海底ケーブルを敷設する!Marea のキャパシティは 160 Tbps (terabytes per second) であり、大⻄洋を横断する海底ケーブルとしては、これまでで最大級のものになる
Google FASTER⼆年の敷設期間をへて実用に2016年6月29日 Internet Watch容量60Tbpsの日米間海底ケーブル「FASTER」が完成、明日運用開始、KDDIやGoogleなど6社が建設http://internet.watch.impress.co.jp/docs/news/1007762.html
Microsoft-Facebook laying trans-Atlantic Internet line
May 27, 2016
http://www.straitstimes.com/tech/microsoft-facebook-laying-trans-atlantic-internet-line8
© 2016 IBM Corporation
* Subject to available capacity
and network availability
Data center and Point of Presence
Planned data centers (not yet
available as of Nov 2014)
Network Point of Presence
India
China
Tokyo
Hong Kong
Singapore
Melbourne
Seattle
San Jose
Los Angeles
Mexico City
Chicago
Montreal
Brazil
New York City
Miami
LondonFrankfurt
Amsterdam
Paris
Sydney
Atlanta
Denver
Dallas
Houston
Toronto
Washington D.C.
� Key markets for expansion: Japan, India, China, Mexico1
� Data centers are subject to available capacity at time of order.
� Toronto and London data centers are equipped with dual redundant 10GigE networks; dual
redundant 1GigE networks are provided at other locations.
1Plans are subject to change without notice.
SoftLayer® data centers are located around the world,
and our global footprint is expanding to support even greater infrastructure access.
9
© 2016 IBM Corporation
インターネットの専⽤⾼速道路〜インターネットオーバーレイ
国際専用線10Gbps
国際専用線10Gbps
例:シンガポール
例:日本国内 例:米国国内
データセンター
この専用線設備が規模の経済となっている。インターネットの巨人たちが5年の月日をかけたインフラに
今から日本企業が追いつくには、どうするか?
国内インターネット
10
© 2016 IBM Corporation11
インターネット接続の管理は限界に。冗⻑化やオーバーレイが複雑化を招いている米国全土でインターネットサービスの途絶が発生米国全土でインターネットサービスの途絶が発生米国全土でインターネットサービスの途絶が発生米国全土でインターネットサービスの途絶が発生--BGPルーティングテーブルの巨大化ルーティングテーブルの巨大化ルーティングテーブルの巨大化ルーティングテーブルの巨大化ででででhttp://japan.zdnet.com/article/35052352/米国時間8月12日以降、インターネットの速度が十分に出ていないと感じていたり、一部のサイトが全く読み込まれない現象が発生し、米国や欧州のニュースサイトなどで騒ぎになっている。多くのTier1のインターネットサービスプロバイダー(ISP)や、さらにそうしたISPがサポートしている末端のISPは、技術的問題に直面しており、その結果、米国全土とカナダの一部地域ではインターネットサービスの状況が悪化している。インターネットのエンジニアリングやアーキテクチャの専
門団体である、北米ネットワークオペレーターズグループ(NANOG)のメーリングリストへの投稿によれば、「東部標準時8月12日午前4時〜5時頃から、複数のISPで大規模な問題が」生じているという。
Border Gateway Protocol(BGP)のルーティングテーブルが上限に達し、古いルータが機能しなくなっている。そのため、インターネットの一部にも影響が出ている。
ネットワーク障害でトラフィックが欧州から香港へ:こネットワーク障害でトラフィックが欧州から香港へ:こネットワーク障害でトラフィックが欧州から香港へ:こネットワーク障害でトラフィックが欧州から香港へ:これもヒューマン・エラー!れもヒューマン・エラー!れもヒューマン・エラー!れもヒューマン・エラー!https://agilecatcloud.com/2016/08/23/outage-that-
rerouted-european-traffic-to-asia-blamed-on-human-
error/
この月曜日 (6/20) に生じた、大規模なネットワークの障害により、WhatsApp/Reddit/CloudFlare/AWS と
いった多様なサービスに影響が生じた。それは、TeliaSonera のエンジニアが誤ってルータを設定し、Europe における大半のトラフィックを、Hong Kong ヘ向けて送信したことに原因があると、Register がレポートしている。このダウンタイムは、6月20日 12:10 UTC に始まったと、CloudFlareサイトのブログに掲載されている。このイン
ターネット・セキュリティとコンテンツ配信を提供するサービス・プロバイダーは、大量のデータ・パケットが、TeliaSonera のネットワーク上で失われたことを検出している。そして、CloudFlareは、13:43 UTC に問題への対処が実施され、UTC 14:22 に問題が解消したと述べている。
© 2016 IBM Corporation12
自⼒でのDNS運⽤は難しい。DDoSリフレクション
DNSサービス「サービス「サービス「サービス「Dyn」への大規模」への大規模」への大規模」への大規模DDoS攻撃、発信源は攻撃、発信源は攻撃、発信源は攻撃、発信源は10万台の万台の万台の万台のIoT機器機器機器機器2016/10/28
Michael Kan IDG News Service
DNSサービス事業者の米Dynが分散型サービス拒否(DDoS)攻撃を受けたことで発生した大規模なインターネット接続障害について、同社は現地時間2016年10月26
日、事態の経緯と調査結果の概要を公式ブログ記事で明らかにした。それによると、今回の接続障害は、推定10
万台のデバイスから受けたDDoS攻撃が原因で、デバイスの多くは、マルウエア「Mirai」に感染していた。
大手大手大手大手DNSプロバイダープロバイダープロバイダープロバイダーNS1に大規模なに大規模なに大規模なに大規模なDDoS攻撃、多くの攻撃、多くの攻撃、多くの攻撃、多くのウェブサイトがダウンウェブサイトがダウンウェブサイトがダウンウェブサイトがダウン
NS1の製品担当バイスプレジデントJonathan Lewis氏
は、「当社のネットワークは複数の地域で性能が低下し、米国と欧州で最も大きな影響を受けた」と電子メールでコメントした。ニューヨークに本社を置く同社は、Yelp
や、ウェブコミックサイトのXKDCなど、大量のトラ
フィックを生成するウェブサイトに対してサービスを提供している。NS1の顧客であるImgurは、今回の障害が原因で欧州の
ユーザーが影響を受けたことをツイートで認めた。セキュアID管理企業であるOneLoginも、16日に同社のユーザーに問題が発生したと述べている。
この日、多くのユーザーがこれらのサイトやサービスにアクセスできなかった。NS1の状況報告ページによれば、攻撃は東部夏時間の午前10時45分に始まった。同社は、今回の発展的な分散サービス妨害(DDoS)攻撃は、アジアや南北アメリカを含むほぼ世界中の地域に影響を及ぼしたと述べている。
© 2016 IBM Corporation
� インターネット接続帯域の考え方� サービスプロバイダーとの契約帯域(サーバーが直接アクセスするAPI帯域)� CDNネットワークとのピアリング帯域(フロントエンドコンテンツとキャッシュ)� インターネットオーバーレイ(ローカルプロバイダー経由のユーザー帯域)
� データセンターロケーション� キャッシュネットワークやオーバーレイなどのピアリングポイントを意識する� 他のクラウドサービスとのハイブリッドなマッシュアップに対応する� キャリアのセキュアコネクションとの接続性を考慮する
� DNS, NTP, DHCPなどのインターネット基本サービス、BGPなどのルート情報を用いた冗⻑化� 常時攻撃にさらされる危険があり、素人の運用では限界がある� 複雑なピアリングやキャッシュネットワークの存在によりBGPオペレーターが高度化� インターネット・クラウドの基本サービスを最大限利用すること
13
インターネット・ネットワーク・デザイン
© 2016 IBM Corporation14
SDN以前のネットワーク(プライベート)
HypervisorvSwitch
Guest VM
VLAN XX
VLAN XX
HypervisorvSwitch
Guest VM
VLAN XXVLAN XX
HypervisorvSwitch
Guest VM
VLAN XXVLAN ZZ
物理サーバー
接続スイッチ
VLAN YY
VLAN ZZ
VLAN XX
複数VLANを接続(トランク接続)
Internet
Firewall Loadbalancer
VPN
WAN
ROUTER ROUTER
HypervisorvSwitch
Guest VM
VLAN 55VLAN 00
セキュリティ構造を決定する物理的な配線
テナント毎にVLAN発⾏
VLAN数は最大4096
爆発的なインスタンスの増加
別のデータセンターデータセンター
同じテナントでも違う
ネットワーク
物理ルーターによるIPネットワークの接続
© 2016 IBM Corporation15
SDN基本構成
VMwareSDN VxxxxLAN
Guest VM
VMwareSDN VxxxxLAN
Guest VM
VMwareSDN VxxxxLAN
Guest VM物理サーバー
VMwareSDN VxxxxLAN
Guest VM
別のデータセンターデータセンター
同じテナントで同じネットワーク
接続スイッチ
ROUTER ROUTER
WAN
離れたラック
IP IP IP IP
物理サーバー間はIPネットワーク通信のみ⾏う↓
物理ネットワークはサービスネットワークのVLAN構成を切り離し、単純なIPネットワークのみ管理する
ソフトウェアでエミュレートされたサービスネットワーク=SDN
© 2016 IBM Corporation16
SDNクラウドネットワーキング
VMw
are
SDN
VMw
are
SDN
Guest VM
Service Network(Virtual Eth)
VMw
are
SDN
Guest VM
VMw
are
SDN
VMw
are
SDN
Guest VM
VMw
are
SDN
VMware
SDN Vyatta
VMware
SDN Vyatta
Nearest IBM Cloud
DCPrimary PoP
(HKG)
Backup IBM Cloud DC
Secondary PoP(SGP)
(HKG) (DAL) (SJC)
CustomerWAN
ROUTERROUTER
• 地域や国をまたがった地域や国をまたがった地域や国をまたがった地域や国をまたがったNW インフラの混在しているとき、インフラの混在しているとき、インフラの混在しているとき、インフラの混在しているとき、SDNが物理的な管理運用のが物理的な管理運用のが物理的な管理運用のが物理的な管理運用の複雑性を解決複雑性を解決複雑性を解決複雑性を解決-クラウドサークラウドサークラウドサークラウドサービスのネットワーク上の制約ビスのネットワーク上の制約ビスのネットワーク上の制約ビスのネットワーク上の制約ををををSDNで解決で解決で解決で解決
• BYOIPの実現の実現の実現の実現: NSXととととVyattaによる仮想グローバによる仮想グローバによる仮想グローバによる仮想グローバルルルルSDNネットワークによるプネットワークによるプネットワークによるプネットワークによるプライベートアドレス空間の拡ライベートアドレス空間の拡ライベートアドレス空間の拡ライベートアドレス空間の拡張張張張
• VPNトンネルとダイナミックトンネルとダイナミックトンネルとダイナミックトンネルとダイナミックルーティングをサポートするルーティングをサポートするルーティングをサポートするルーティングをサポートすることによって安全且つ高可用ことによって安全且つ高可用ことによって安全且つ高可用ことによって安全且つ高可用性を備えたハイブリッドクラウ性を備えたハイブリッドクラウ性を備えたハイブリッドクラウ性を備えたハイブリッドクラウドセンターを構築することがドセンターを構築することがドセンターを構築することがドセンターを構築することが可能可能可能可能
• 地域に問わず、仮想クラウド地域に問わず、仮想クラウド地域に問わず、仮想クラウド地域に問わず、仮想クラウドデータセンターの自由度が高データセンターの自由度が高データセンターの自由度が高データセンターの自由度が高く、ビジネスの状況に応じたリく、ビジネスの状況に応じたリく、ビジネスの状況に応じたリく、ビジネスの状況に応じたリソースの移動と配置を素早くソースの移動と配置を素早くソースの移動と配置を素早くソースの移動と配置を素早く対応できる対応できる対応できる対応できる
BYOIP: Bring Your Own IP address
Bluemix Infrastructure
物理ネットワークはなんでもOKです。Bluemix Infrastructureのバックボーンネットワークを利用することもできる。
© 2016 IBM Corporation
BlueBox ネットワーク BYOIP構成
Bare Metal
KVM
OVS
Compute
Node
Bare Metal
KVM
OVS
Compute
Node
Bare Metal
KVM
OVS
Compute
Node
FWaaS
Neutron Server
Bare Metal
Horizon
LBaaS
Bare Metal
KVM
OVS
Guest VMGuest VM Guest VM Guest VM
Customer Gateway(Vyatta Router/Firewall)
Customer Gateway(Vyatta Router/Firewall)
OpenStack SDN
BYOIPCustomerPrivate IP
SL DC
10G
Linux Bridge
Controller/Network
Node
Compute
Node
VPNaaSDHCP AgentL3 Agent
SL AssignedIP
Vyatta 仮想ルータをBlueBoxネットワークに配置し、GREトンネルでユーザIPアドレス
を通過させBYOIPを実現する
NAT CustomerRouter
VyattaRouter
GRETunnel
BYOIPのネットワークは、BlueBoxのHorizonから直接アクセスできなくなる。
VyattaによるNATや、お客様環境の運用管理形態が必要
CustomerPrivate IP
�BlueBox内のネットワークはユーザにより自由に選択できますが、BlueBox外との接続はインターネットまたはDirect接続の場合もSoftLayer/BlueBoxによって割り当てられるIPアドレスになります。
�お客様IPアドレス体系そのもので接続するには、GREトンネルなどを使って仮想接続する必要があります。
DirectLink
17
© 2016 IBM Corporation
SDNによるクラウド環境と企業インフラの接続
お客様DCベアメタルオープンスタック
BYOIP
クラウドサービスの活用
ダイレクトリンク接続
クラウド環境とオンプレミス環境をBYOIPにより接続し、さらにSDN化によりネットワーク管理⾯の⼀⾯化を図る
インターネット接続
お客様DC
18
© 2016 IBM Corporation19
オーケストレーションと自動化への進化
MonitorEvent
KVM
Public Cloud #1
API
制御制御制御制御
クラウド・コンソールシステム・コンソール
SoftwareControl
モニタリング
構成自動化
性能管理
自動化
クラウドはサービスの基本機能としてオーケストレーション機能を備えている。監視やモニタなども機能化されている。構成管理ツールやAPIによるシステム構成・制御と、監視・モニタとの連携による⾃動化がインフラストラクチャ管理を⼿作業から解放し、更新回転の速いas a Serviceのデジタルビジネスの支援インフラとなる
• 構成標準化• ワークフロー
• Dynamic Sutomation⾃動化ロジック
• Infrastructure as Code• DevOps
オーケストレーションオーケストレーションオーケストレーションオーケストレーション構築、リリース自動化構築、リリース自動化構築、リリース自動化構築、リリース自動化
運用自動化運用自動化運用自動化運用自動化
© 2016 IBM Corporation
NW構成管理ツール + API
20
© 2016 IBM Corporation
サーバ構成管理ツール + NW
� サーバ構成管理ツールがNW機器に対応
21
© 2016 IBM Corporation
業務サーバ
定期作業(スケジュール
登録)
サービス要求
監視アラート
Dynamic
Automation (DA)
コマンド発⾏
自動化のタイプ
監視アラート監視モニターを監視し、障害発生時にオペレーターが⾏う作業を代替する
定期作業(スケジュール登録)
定期的なチェック作業などの手作業を、定められた手順にて⾏う
サービス要求単純作業の依頼を受け取り、定められた手順にて作業を実施する
処理モード修復
(Remediation)障害の診断結果、自動修復を実施する(サービスのリスタート処置等)
分析・診断(Diagnosis)
修復する為のデータ収集を実施・報告し、修復実⾏はしない(⼈間の判断)
エスカレーション(Escalation)
情報の内容によりSEへエスカレーション(連絡)する
(Virtual Engineer)
予め自動化のLogic(Automata)を登録しておく
Dynamic Automation
� Dynamic Automationでは次の処理フローの⾃動化を実現します� 「障害アラートへの⾃動対応」 「定期作業の⾃動化」 「サービス要求への⾃動対応」
22
© 2013 IBM Corporation
Design of Infrastructure of “as a service”
インターネットクラスのセキュリティゼロトラスト・ネットワークでシンプル化するネットワーク
� Zero Trust Security
� ゾーニングネットワークセキュリティの限界
� ゼロトラスト・ネットワークでシンプル化するネットワーク
© 2016 IBM Corporation24
境界集約型(FW)で予防し防御しても侵⼊や脅威は防げない。内部犯⾏も想定される。トラストモデルの破たん
ゼロ・トラストモデルネットワーク
Internetや外部とネットワーク接続する。Internetのサービスを利⽤する。外部と同じ端末を社内でも利⽤する。
信頼せず、検証し続けるゼロ・トラストセキュリティ
ゼロ・トラストセキュリティ
© 2016 IBM Corporation
ゾーニング、IPアドレス主導のネットワーク構造の限界
The Internet
DMZ
DC
VPN
Firewall LB/SSL
Ext. Servers
Int. Servers
事業所
本社、研究所
� これまでのネットワーク– ゾーニングを中心にした
ネットワークセキュリティの限界• IPのフィルターの限界• IDS/IPS、ふるまい検知• 多層防御対応
– VPN装置経由のアクセス• VPN対応機種やバージョン管理• ID管理とVPN暗号強化• インターネットネイティブな
モバイルへのアプリケーション対応に必要性– 内部デバイスの管理強化
• 内部犯⾏、マルウェア対策社内といえども信じない
内部を信じるネットワークの限界– ゼロ・トラストネットワーク
25
© 2016 IBM Corporation
単層的な侵入検知防御対策
検知機能を信頼する
Firewall
Alert監視
ゾーニング中心の考え方
重要データの暗号化
オペレータ性善説
HOST IDS
Database
DB Admin
これまでは
複雑化し増大するサーバーへの対応
検知しきれない巧妙な攻撃や侵入
原因追求が遅れて初動対応を誤る危険
内部犯⾏
多層防御
監視検知
重要情報保護
セキュリティインテリジェンス
データアクセスの監視
データベース操作の監視
DB管理者の監視管理
管理ログの保存
Security Operation
Center
サイバー脅威の分析チーム
セキュリティ運用初動対応
グレーなアラートの相関を総合的に判断
監査ログの保存
Firewall
IDS/IPS
WAF
多層的な監視
複数のシグニチャ
侵入・異常検知
侵入防御フィルタリング
SIEM
Security
Intelligence
IBM X-Force
DBA
Forensic
監視
IBMのZERO トラスト・セキュリティの考え方
26
© 2016 IBM Corporation
ファイヤーウォールだけではない、監視とインテリジェンスが重要
The Internet
SPI Database
DB AAA
DB管理者の管理
DB管理者を信じない
すべてのアクセスログを保存• データアクセス• DB管理操作• 管理者の作業ログ
検知するイベント• DBログインの失敗• 機密データへのアクセス• テーブルの操作• DBアカウントの作成• 特権ユーザー権限の流出• …
• Signature Filtering• Anomaly Detection• WEB Injection• DDoS/Reflection
SIEM• 各種ログの相関分析• セキュリティインテリジェンス• チケットの発⾏業務
統合ユーザー管理
• 管理された許可操作
• サービスデスク• サービスマネジメント• チケット管理• セキュリティ対応
• Security Ops Center• Security Intelligence
• 管理された許可操作
27
© 2016 IBM Corporation28
NetFlowの機能を使って継続的な監視データ収集•ネットワーク内の全ての通信の追跡•スイッチ、ルーター、ファイアウォールなどネットワーク内の至る所でのデータ採取
•ネットワーク使用状況の把握•ユーザーからユーザーへの横の通信も可視化• SPANベースの大量データからの解析より少ないデータ量でトラフィック解析が可能
Flow 情報 パケット送信元アドレス 10.1.8.3
宛先アドレス 172.168.134.2
送信元ポート 47321
宛先ポート 443
インターフェイス情報 Gi0/0/0
IP TOS情報 0x00
IPプロトコル情報 6
NEXT HOP 172.168.25.1
TCP FLAGS 0x1A
SOURCE SGT 100
: :
アプリケーション名 NBAR SECURE-HTTP
10.1.8.3
172.168.134.2
インターネット
ルータースイッチクライアント
サーバ
Network as a Sensor
ネットワーク機器をセキュリティーセンサーにする
NetFlowをセキュリティ監視に活⽤する
© 2016 IBM Corporation
ゼロトラスト・ネットワークでシンプル化するネットワーク
The Internet
クラウドサービス
↑企業ごとの安全なアクセス
⼿段
ServiceExchange
↑Internetクラスの
防御
SecureConnect
DirectConnectFirewall
社内 ↗アプリアクセスWEB
データセンター
事業所
本社、研究所
• 統合的なアクセス制御• ID管理、多要素認証• フラット化したイントラネット• クラウドサービスとの⼀体運営
イントラネット
情報資源
アクセス資源
↑Internetクラスの
防御
← Internetクラスの
← 防御
MDM/MAM
http://wired.jp/innovationinsights/post/technology/i/paradigmshift-to-zerotrust/
29
© 2016 IBM Corporation30
ZERO Trust Security ネットワーク・ソリューション
データ
事業継続戦略とビジョン
事業継続対応組織
被災時/復旧時業務プロセス
アプリケーション
IT基盤
施設、設備
認証・制御
マイグレーション
クラウド
データセンター
検査・検疫
NWアクセス
クライアント
ネットワークアセスメント・コンサルティング
統合アクセス制御
NWデバイス認証
ふるまい検査・検疫ネットワーク
多層防御 / 監視検知 / セキュリティインテリジェンス + 重要情報の保護
エンドポイントプロテクション
クラウド接続ネットワーク
サーバ/ストレージ/クラウド移⾏
BluemixInfrastructure
ID管理
・端末の検査・隔離・トラフィックの検査・遮断
・コンプライアンス管理・MDM / MAM
・.1X認証(ユーザ/パスワード、証明書)・MAC認証・VPN認証
・LDAP・Active Directory
© 2016 IBM Corporation31
ZERO Trust Security ネットワーク・ソリューション
クラウドサービス
↑企業ごとの安全なアクセス
⼿段
ServiceExchange
↑Internetクラスの防御 Secure
ConnectDirectConnect
Firewall
社内 ↗アプリアクセスWEB
データセンター
情報資源
アクセス資源
The Internet
本社、研究所
イントラネット
←Internetクラスの
←防御
事業所 端末の検査違反端末の隔離
←Internetクラスの
←防御
MDMMAM
End Point Protection(BigFix / Maas360)(MaaS360 / BigFix)コンプライアンス
管理
サーバ移⾏ストレージ移⾏
マイグレーション
クラウド移⾏
クラウド接続Connectivity
VPN 認証.1X 認証
NWデバイス認証(ISE / AnyConnect)
MAC 認証
Switch
AP
ふるまい検査・検疫(Stealthwatch + ISE)
アクセス制御(ISE + TrustSec)
トラフィック検査不正通信の遮断
統合アクセス制御
LDAPActive Directory
ID管理
多層防御
監視検知
重要情報保護
セキュリティインテリジェンス
ServerStorage
• 統合的なアクセス制御• ID管理、多要素認証• フラット化したイントラネット• クラウドサービスとの一体運営
© 2013 IBM Corporation
Design of Infrastructure of “as a service”Design of Infrastructure of “as a service”
IBM, IBMロゴ、ibm.comは 世界の多くの国で登録されたInternational BusinessMachines Corp. の商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。
当資料をコピー等で複製することは、日本アイ・ビー・エム株式会社および執筆者の承認なしではできません。