Transcript PPT
PSU Week 2015 May [Sec-4] CWSの技術概要 2015/5/27 エンタープライズ システムズ エンジニアリング シニア システムズ エンジニア 中口 陽介 セッション概要 本セッションでは、以下の内容をカバーしています • CWSの概要説明 • CWSへ接続するバリエーションのご紹介および設定方法 • CWSが提供する機能のご紹介 • Appendix: トラブルシューティングに関する情報 参考情報のスライドには、 右のアイコンをつけています ご参考までに はじめに Cloud Web Security概要 アジェンダ CWSの展開方法 CWSの機能紹介 Appendix: トラブルシューティング ウェブセキュリティの課題 拠点数に伴うセキュリティの懸念とコスト増加の現状 国内データセンター 通信速度が遅く感じる 運用コストが増加 回線コストが増加 インターネット 仮想環境 国内DCを経由する場合は遅延が発生 国内とセキュリティ設定が異なる 海外拠点の増加 ガバナンスが効かない クライアント 回線コストが増加 社外ネットワークから直 接インターネットへ接続 ユーザ別の利用状況が不明 クライアント クライアント 海外拠点 日本本社 モバイルユーザ 国内拠点 はじめに Cloud Web Security概要 CWSの展開方法 アジェンダ CWSの機能紹介 Appendix: トラブルシューティング • CWSとは • CWSが必要とされるポイント • CWSの技術概要 Cisco Cloud Web Security “CWS” とは • CWS(Cloud Web Security)は、世界23拠点のデータセンターに展開する (”タワー”と呼ぶ)クラウド型プロキシサービス。クライアントがウェブか らコンテンツをダウンロードする際に潜む脅威や危険なサイトへのアクセス をブロックするウェブに特化したセキュリティサービス • クラウド型プロキシサービスであるCWSは導入費・保守費を抑え、 オンプレミス型プロキシ製品と比較してコストを30~40%削減可能 • CWSを利用することで拠点毎に異なるセキュリティポリシーを統一 • シスコ機器のASA、WSA、ISR G2と連携することで 既存のネットワーク構成を変更しないでCWSに接続可能 • シスコ製品のAnyConnectを利用することで現在地から 最も近いタワーを自動検索して強制的にCWSに接続可能 CWSが必要とされるポイント Internet インターネット Firewall マルウェア URLフィルタ CWSの特徴 オンプレミスプロキシに比べ40%のコスト削減 インターネット Cloud Web Security ウェブプロキシ Collective Security Intelligence クラウドへ 統合 Firewall 最新のセキュリティ評価に基づくアクセス制御 標的型などあらゆる脅威からの入口/出口対策 リアルタイムサンドボックス分析(マルウェア) ポリシー管理 レポーティング セキュリティポリシーを一元化 クライアント クライアント 運用に手間がかからない 既存のネットワーク構成を変更しない レポート 世界23拠点でサービス展開 CWSが必要とされるポイント Internet インターネット Firewall マルウェア URLフィルタ CWSの優位点 多言語対応、日本語にも強いURL フィルタリング インターネット Cloud Web Security ウェブプロキシ Collective Security Intelligence クラウドへ 統合 Firewall ウェブレピュテーションフィルタ シグネチャベースの複数アンチウイルスエンジン アドバンスド マルウェア プロテクション(AMP) ポリシー管理 レポーティング レトロスペクティブセキュリティ クライアント クライアント アプリケーションコントロール 高度な管理機能 レポート クラウドコネクタ (ASA/WSA/ISR G2) 世界のデータセンター拠点 各データセンター内で複数のプロキシが動作しています 管理者 Traffic Redirections HQ Auckland Copenhagen Hong Kong Miami San Jose Sydney Vancouver Chennai Dallas Johannesburg New Jersey (x2) Sao Paulo Tokyo Washington DC Chicago Frankfurt London (x2) Paris Singapore Toronto Zurich 数値で見るBig data • 6,711,497,122 (67億) リクエスト / 日 * • 124,888,190 (~1億2500万) ブロック / 日 (2560万のマルウェアをブロック) * • 比較として・・・ Google は 30億超リクエスト / 日 ** * 2014/12/15 ** Wikipediaより Cisco Cloud Web Security (CWS) 技術概要 Talos After ウェブ フィルタリング ウェブ レピュテーション アプリケーション可 視化と制御 (AVC) ウェブページ アンチ マルウェア www.website.com ファイル レピュテーション アウトブレイク インテリジェンス ファイル サンドボックス CTA ネットワーク 振る舞い 分析 www ファイル レトロスペクティブ X トラフィック・ リダイレク ション X ASA WSA X Standalone X ISR G2 X X AnyConnect www www 管理 管理者 本社 レポーティング www ログ抽出 許可 本社/大規模オフィス 拠点オフィス 本日のフォーカスエリア 社外ユーザ 警告 ブロック 一部ブロック CWSのデータフロー クライアント コネクタ CWS プロキシ GETリクエスト(+ CWSヘッダー) 接続先ホスト 1. ユーザは接続先ホストへのアクセスが許可されているか? 2. 接続先ホストのレピュテーションは問題ないか? 許可されたGETリクエスト (CWS ヘッダは削除) HTTPレスポンス 3. コンテンツのスキャン HTTPレスポンス 全てのリクエストおよびレス ポンスイベントをロギング CWSヘッダーに含まれる暗号化されていないデータの例: ScanSafeAgentVersion=AP-ISR-15.1(2)T;time=2010-04-29T17:09:59Z; X-Scansafe-License=12345678912345678912345678912345;cxn=1027;X-ClientIP=20.1.1.2;X-Authenticated-User=c2l2YQ==;X-Authenticated-Groups=SVQ=; はじめに Cloud Web Security概要 CWSの展開方法 アジェンダ CWSの機能紹介 Appendix: トラブルシューティング • 各種コネクタ紹介および設定方法 • コネクタ以外の接続方法 CWSの展開方法 CWSへの接続 Talos After ウェブ フィルタリング ウェブ レピュテーション アプリケーション ビジビリティ& コントロール (AVC) ウェブページ www.website.com アンチ マルウェア ファイル レピュテー ション アウトブレイク インテリジェンス www ファイル サンドボックス CTA ネットワーク 振る舞い 分析 ファイル レピュテーション X トラフィッ クのリダ イレクト X ASA WSA X Standalone X ISR G2 X X AnyConnect www www 運用 管理者 本社 レポーティング www ログ抽出 許可 本社/大規模オフィス 拠点ユーザ 社外ユーザ 警告 ブロック 一部ブロック CWS導入時のデザインにおける重要なポイント • ユーザのWebトラフィッ クをクラウド上の検査 フィルターへ通過させる 必要がある • HTTP / HTTPS • 透過的 / 明示的 ウェブトラフィック リダイレクト Step1 ユーザー認証 • ユーザ認証 / 正しい サービスの利用 • Windows / LDAP サポート • 詳細なポリシー • 詳細なレポート Step2 • モバイルユーザーの ラップトップからの接続 をサポート ローミング サポート Step3 クラウドコネクタ 既存のCisco機器を利用してCWSへ クラウドウェブセキュリティ ASA ISR G2 WSA コネクタ AnyConnect Web Security Ciscoデバイス クラウドコネクタ WSAv コネクタ Hosted PAC & クラウドで認証 Ciscoデバイス以外 直接クラウドへ ASAコネクタ ASAコネクタ - 主な機能 • ASA コネクタは9.0以降で利用可能で、全てのASAプラットフォームに対応 • シングル、マルチコンテキストモードをサポート • 特別な追加ライセンスは必要なし (K9) • ユーザー情報はIDFW (Identity Firewall) 経由でADから取得 • セカンダリのCWSへ自動フェイルオーバー • ユーザーPCへソフトウェアのインストール必要なし • コネクタとして利用する場合は、Routed modeのみサポート ASAクラウドコネクタ ユーザー認証情報を持ってCWSへ透過的なリダイレクトが可能 本社と支社からのウェブ トラフィックはクラウドで検査 本社と支社間のウェブ トラフィックはホワイトリスト化 本社 支社 ASAとCWSのパケットフロー クライアント 192.168.1.100 ASA 192.168.1.1 1. GET http://google.com 192.168.1.100/2000 74.125.224.97 161.170.244.20 CWS プロキシ 72.3.246.115 Google.com 74.125.224.97 2. GET http://google.com (+ CWS ヘッダー(ユーザー名+グループ名) 161.170.224.20 72.3.246.115/8080 3. GET http://google.com (CWS ヘッダー削除) 4. HTTP response 6. HTTP response 192.168.1.100/2000 74.125.224.97 5. HTTP response 161.170.224.20 72.3.246.115/8080 X-ScanSafe: 35A9C7655CF259C175259A9B980A8DFBF5AC934720BE9374D344F7E584780ECDB9236FF90DF562A79DC4C75 4C3782E7C3D38C76566F0377D5689E25BD62FC5F X-ScanSafe-Data: 8D57AEE5D76432ACAB184AA807D94A7392986FA0D3ED9BEB ASAでの認証プロセス IDFWはContext Directory Agent (CDA) と共に動作 Context Directory Agent (CDA) • ASAは、透過的な認証プロセスをIDFWとCDAで実現 • ドメインコントローラー (DC) と通信しユーザー情報をASAへ転送 • CDAはDCのセキュリティイベントログから ユーザ、ドメイン、ソースIP、ソースポートの詳細を取得 IP-ユーザID (WMI) IP-ユーザID (Radius) ローカル グループ • ウェブポータル、VPNユーザーもサポート ASA グループ情報 (LDAP) • ASAのローカルグループに定義又はDCからグループ情報を取得し統合 • ユーザとグループ情報はHTTPにCWSヘッダーとして埋め込まれる Cisco Context Directory Agent (CDA) は、Linux マシン上で実行され、Active Directory ドメイン コン トローラ (DC) マシンをリアルタイムにモニタして、ユーザ ログインを示す認証関連イベントの有無を確 認し、データベース内の IP アドレスとユーザ ID のマッピングを認識、分析、キャッシュし、クライアント デバイスが最新のマッピングを使用できるようにするアプリケーション DC ASAコネクタ – 設定 ASAコネクタ – CWSの有効化 ASAのコネクタはASDMのユーティリティを利用することで、プロキシおよびライセンスを簡単に設定可能 Class Mapの設定 Class mapsはCWSへ転送するトラフィックを定義 • HTTPトラフィックの例: Class Mapの設定 (続き) ASA コネクタでのユーザ認可 ASAコネクタは企業内ADから、IDFWとCDAを利用してユーザ及びグループ情報を取得 IDFW については、以下のドキュメントもご参照ください • ASA5500 総合テクニカルガイド(2012/03/15)「Identity Firewall」セクション http://www.cisco.com/web/JP/partners/sell/technology/security/literature.html リダイレクトトラフィックのホワイトリスト CWSへトラフィックをリダイレクトさせたくないURLのFQDN Network objectを定義し、 それらをService Access Policyで matchしないように設定します。 • ソフトウェアアップデート (例: AVシグネチャ) 等のサイトが推奨されます。 ISR G2コネクタ ISR G2コネクタ – 主な機能 • コネクタ機能は IOS (universal) イメージと K9 セキュリティフィーチャーセット (SEC) ライセンスにて利用可能 • サポートされるデバイスは 880, 890, 19xx, 29xx & 39xx/E • 社内WANを介さずに、インターネットへの HTTP/HTTPS 通信を直接クラウドへリダイレクトす ることが可能 • ユーザ認可は ISR 上の AAA サービスにて提供 • セカンダリデータセンターへ自動的にフェイルオーバー • 専用ハードウェアへのソフトウェアのインストールやクライアント端末でのブラウザの設定変更 やAnyConnectのインストールは不要 • CWSの利用ライセンスはユーザに基づいており、ISR 自体には紐づいていない 支店から直接Internetへ接続 ISR G2 ルータに統合されたWebクラウド向けリダイレクション機能 拠点 セキュアなローカル インターネットアクセス 本社 ISR G2とCWSのパケットフロー Packet Flow - ISR-G2 クライアント 192.168.1.100 ISR G2 192.168.1.1 161.170.244.20 CWS プロキシ 72.3.246.115 1. GET http://google.com 192.168.1.100/2000 74.125.224.97 2. GET http://google.com (+ CWS ヘッダー(ユーザー名+グループ名)) 161.170.224.20 72.3.246.115/8080 3. GET http://google.com (CWS ヘッダー削除) 4. HTTPレスポンス 5. HTTPレスポンス 6. HTTPレスポンス 192.168.1.100/2000 74.125.224.97 161.170.224.20 72.3.246.115/8080 Google.com 74.125.224.97 ISR G2コネクタ – 設定 CLIによる ISR G2 設定 – リダイレクションの例 CLIから以下のコマンドを使って簡単にリダイレクションの設定が可能です。 parameter-map type cws global : router(config)#parameter-map type cws global server primary name proxyXX.scansafe.net port http 8080 https 8080 server secondary name proxyYY.scansafe.net port http 8080 https 8080 license 0 1234567890ABCDEFGHIJKLMNOPQRST source interface GigabitEthernet0/0 timeout server 30 user-group ciscogroup username ciscouser server scansafe on-failure block-all • アウトバンドインターフェースにてコンテンツスキャンを有効化するために以下のコマンドを使います。 cws out: router(config)#interface GigabitEthernet0/0 cws out • 15.4(2)Tより、コマンドに含まれる “content-scan” が “cws” に変更されています。 • 同じく parameter-map 内の “server scansafe primary/secondary” コマンドも “server primary/secondary” に 変更されています。 ISR G2 設定 – 認可の例 (NTLM) 認可は、以下の少しのコマンドにより、ISR G2に実装された AAA サービスにて実施されます: router(config)#aaa new-model aaa group server ldap ScanSafe server ss exit router(config)#ldap server ss ipv4 10.10.137.199 transport port 3268 bind authenticate root-dn CN=ldap,CN=Users,DC=lab,DC=com password Pa$$word base-dn CN=Users,DC=isrvlab,DC=com authentication bind-first search-filter user-object-type top この後、AAAサービスおよび IP admissionルールを定義し、インターナル側のインターフェースに適用します ISR G2 設定 – ホワイトリストの例 ホワイトリスト (CWS へ転送したくないリスト) はホストまたはユーザエージェントにより定義することが可能です: router(config)#parameter-map type regex 888 pattern www.888.com exit cws whitelisting whitelist header host regex 888 • • これらのリストに該当した場合は、CWSへ転送されずに直接インターネットへ転送されます。 ソフトウェアアップデートサイトや企業内で利用しているサイト等はホワイトリストへの登録を推奨します。 WSAコネクタ WSAコネクタ – 主な機能 • コネクタ機能は AsyncOS ver. 8 以降で利用可能 • コンフィギュレーションウィザードから コネクタ 専用の設定を実施 • サポートデバイスは S-シリーズ x70 と x80, およびWSAv • セカンダリクラウドプロキシへ自動的にフェイルオーバー • 既存の WSA メカニズムによりユーザ認可を実施 • CWSのライセンスはユーザに基づいており、WSAデバイス毎には不要 • ユースケース: • • • アプライアンスの機能とミックスして利用したい 既存のWSAが存在するが、CWSへ移行してローミングユーザも同一ポリシーでサポートしたい Ciscoアプライアンスが利用可能でない時に、仮想環境でコネクタを利用したい WSAコネクタ ローカル機能と集中型のクラウドの利点を組み合わせ WSAコネクタ CWSへのリダイレクション プライマリ/バックアッププロキシ のフェイルオーバー 企業、グループ、およびユーザ情 報は暗号化されたヘッダーに Fail-open/fail-closedメカニズム WSA ローカル機 コネクタ WSA On boxで NTLM v2 による透 過型の認証 トランスペアレントまたは明示的 なプロキシ ローカルキャッシュサポート Off-box での DLP 統合 アプライアンスベース WSAコネクタ – 設定 WSAコネクタ設定 System Setup Wizardを起動 WSAコネクタ設定 (続き) • • 以下のようなメッセージが出るが、内容を確認してReset Configurationをクリック 基本ネットワーク設定(インターフェイス設定、ルーティングテーブル、およびDNS設定) を維持したい 場合は、Reset Network Settings をチェックしないこと WSAコネクタ設定 (続き) WSAをコネクタとして動作させるためのモードを選択 WSAコネクタ設定 (続き) 接続するプライマリ/セカンダリのプロキシを設定し、ScanCenterで発行 した Authorization Key を入力 WSAコネクタ設定 (続き) ウィザードに従って設定し、WSAへトラフィックをリダイレクトする方法を選択 (今回は No device) WSAコネクタ設定 (続き) 最後に設定内容を確認し、Install This Configuration をクリック AnyConnect Web Security AnyConnect Web Securityとは? • Web SecurityはAnyConnect VPN clientの1つのコンポーネント • Web SecurityはAnyConnectのDiagnostics and Reporting Tool (DART) より 下のレイヤーであるドライバーレベルで動作 KDF Driver VPN Kernel Driver Framework Web Security NAM Web Security Driver Dart AnyConnect Web Security機能 • ユーザーのウェブトラフィックをフックしてCWSのプロキシへリダイレクト • 一番近いプロキシを自動的に選択し接続することも可能 • クライアントとプロキシ間のトラフィックはSSLで暗号化 • フルトンネル (ASA終端しCWSへ)、またはSplitトンネル (ウェブはCWSへ直接) で動作 • Client ProfileはCWSへホスティング可能 SSL トンネル インターネットトラフィック VPN トラフィック • • • • 透過的なリダイレクト 例外処理 認証 自動プロキシ選択 AnyConnect Web Security -設定 AnyConnect Web Securityの設定と 導入サマリ • 管理者はProfile Editorを利用してプロファイルを作成すること可能。そのプロファイルをAnyConnect Web Security クライアントと同時にデプロイすることにより、クライアントの動作を制御することが可能 • クライアントはWindowsおよびOS-Xユーザであればマニュアルでインストールすることも可能ですし、 VPN接続上でASAからデプロイすることも可能 (ASDMで設定可能) • クライアントが使用するプロファイルは以下のディレクトリに保存する必要あり: ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Web Security /opt/cisco/anyconnect/websecurity • インストール時に ‘locked down’ を選択すると、たとえアドミン権限を持っていても端末側で Cisco AnyConnect Secure Mobility Agent サービスを止めることはできません • MacのOS-X においては acwebsecagent process を止めることはできません ただし、エージェントはアドミンパスワードを利用することでコマンドラインからストップさせることが可能 Profile の作成 - Proxies デフォルトで利用するプ ロキシを選択 HTTPS (Port: 443) が 必要な場合は要追加 グローバルで利用可能な プロキシ一覧が表示される Profile の作成 - Exceptions CWSを経由させない ネットワークの例外設定 Profile の作成 - Preferences • 一般的な設定 (利用するプロキシの自動選択の挙動等) を実施 プロキシの自動選択 On/Off Profile の作成 - Authentication ユーザーや所属する グループを識別する為に ライセンスキーを登録 Profile の作成 - Advanced • Cisco TACから指示があった場合のみ使用 • 詳細設定の変更やデバッグレベルの設定が可能 Profileの管理 Profileは各クライアントPCに置かれるため管理が課題となる 一括管理を実現するため、以下の2つの方法がある ASAで管理する方法 CWSクラウドで管理する方法 1. Profileが更新されたらASAでUpload Hosted Configurationと呼ぶ 2. ASAの設定でファイルを指定しておく 1. ProfileはCWSに置く 3. クライアントがVPN接続をした際に最新の Profileに更新する 2. グループ単位で別々にする事も可能 3. クライアントは定期的にサーチしProfileが変 わっていれば最新のものに更新する Ciscoデバイス以外 Ciscoデバイスがない場合 リダイレクトオプション • Ciscoデバイスが利用できない場合でも、以下のいずれかの方法でトラフィックをリダイレクトさせる ことが可能です: • WSAv コネクタを仮想環境で利用 (フルのコネクタ機能と認証) • CWS コネクタ (かつてはScanSafeコネクタ) を顧客環境のWindowsサーバまたはLinux上で動作させ、 明示的なプロキシとして使用し、CWSへリダイレクトさせる。LDAP連携でNTLM認証が可能。ICAP/ISA との統合も可能 • ブラウザのプロキシ設定またはPAC (Proxy auto configuration) にてプロキシを明示的に設定する WSAv コネクタ CWS コネクタ Hosted PAC クラウドコネクタの機能マトリックス ISR G2 ASA/ASAv CWS コネクタ WSA/WSAv Anyconnect Websecurity ISR G2 ルータ ASA ファイヤウォール ASAv 仮想アプライアンス WSA アプライアンス WSAv 仮想アプライアンス ソフトウェア (Native コネクタ) PCにAnyconnectをインストール Trusted Network Detectionに対応 サポートOS IOS 15.3(3)M3 以上を推奨 9.1.5 以上を推奨 AsyncOS 8.0 以上 Linux/Windows Mac/Windows サポートされるユーザ数 モデルに依存 認証時で 120~1200 モデルに依存 25~7500 モデルに依存 25~7500 サーバスペックに依存 25〜2000 制限なし クライアントからコネクタ への接続 透過的 透過的 明示的/透過的 明示的 透過的 (自動的に最寄りのプロキシを選択) コネクタからCWSへの接 続 明示的 (Primary, Secondary) 明示的 (Primary, Secondary) 明示的 (Primary, Secondary) 明示的 (Primary, Secondary) - コネクタとCWS間のSSL Tunnel対応 - - - サポート サポート AUP/Quotas - - - サポート - EasyID/SAML対応 サポート サポート サポート サポート サポート - IDFWを利用 - CDA(Context Directly Agent)が必要 -Proxy NTLM (407 Proxy 認証が必要) -BASIC(LDAP) (401 Unauthorized) -CDA(Context Directly Agent) -Proxy NTLM (407 Proxy 認証が必要) 対応している認証方式 - ISR AAA Service - Proxy NTLM (407 Proxy 認証が必要) - BASIC(LDAP) (401 Unauthorized) -User key -Group key -Cached NTLM (gpresult) サポートされる 認証プロトコル NTLM (v1, v2), LDAP, TACACS and Radius NTLM (v1, v2), LDAP, Kerbous, TACACS/Radius NTLM (v1, v2), LDAP NTLM (v1, v2), LDAP NTLM (gpresult) - CDAは無償 (CWSでユーザ数の課金) WSAvは無償 (CWSでユーザ数の課金) ソフトウェアは無償 (CWSでユーザ数の課金) ソフトウェは無償 (CWSでユーザ数の課金) コネクタの説明 費用 Webトラフィックのリダイレクト方法の選択 ローミングユーザの サポートが必要 以下のような Ciscoデバイスを 所持している (ISRG2,ASA,WSA) AnyConnectを利用 AUPやQuotas、 SSLトンネリングが 必要な場合 既存のCisco デバイスを利用 ハイパフォーマンス、 WCCP、NTLMv2、 ローカルキャッシング& ロギングが必要な場合 CWS コネクタ WSA コネクタ ASAv コネクタ 仮想環境での利用が 必要な場合 Ciscoデバイスを 所持していない ユーザに意識させず、 透過的なリダイレクト で実現したい (WCCP) プロキシの明示的な 指定が必要 WSAvコネクタ 直接CWSへ接続 (PAC ファイルまたは3rd パーティのプロキシ) ユーザ単位での 制御が必要 CWS コネクタ はじめに Cloud Web Security概要 CWSの展開方法 アジェンダ CWSの機能紹介 Appendix: トラブルシューティング • • • • • • 管理権限の委譲 URLフィルタリング ウェブレピュテーション AVC (Application Visibility & Control) マルウェアスキャンエンジン 高度な脅威対策 CWSの機能紹介 Talos CTA After ウェブ フィルタリング ウェブ レピュテーション アプリケーション ビジビリティ& コントロール (AVC) ウェブページ www.website.com アンチ マルウェア ファイル レピュテー ション アウトブレイク インテリジェン ス www ファイル サンドボックス CTA ネットワーク 振る舞い 分析 ファイル レピュテーション X トラフィッ クのリダ イレクト X ASA WSA X Standalone X ISR G2 X X AnyConnect www www 運用 管理者 本社 レポーティング www ログ抽出 許可 本社/大規模オフィス 拠点ユーザ 社外ユーザ 警告 ブロック 一部ブロック Delegated Administration (管理権限の委譲) 親会社と子会社間の関係 (管理権限委譲) 子会社2 子会社1 子会社3 親会社 親会社 Delegated Administration 親会社 子会社2 子会社1 親会社 Delegated Administration ポリシーの順序も 変更可能 親会社 グローバルポリシー 子会社ポリシー 子会社 Delegated Administration 子会社のポリシー CWSが提供するセキュリティ機能 Talos CTA After ウェブ フィルタリング ウェブ レピュテーション アプリケーション ビジビリティ& コントロール (AVC) ウェブページ www.website.com アンチ マルウェア ファイル レピュテー ション アウトブレイク インテリジェン ス www ファイル サンドボックス CTA ネットワーク 振る舞い 分析 ファイル レピュテーション X トラフィッ クのリダ イレクト X ASA WSA X Standalone X ISR G2 X X AnyConnect www www 運用 管理者 本社 レポーティング www ログ抽出 許可 本社/大規模オフィス 拠点ユーザ 社外ユーザ 警告 ブロック 一部ブロック ウェブフィルタリング WWW ウェブ フィルタリング ウェブ フィルタリング ウェブ レピュテーション アプリケーション ビジビリティ& コントロール (AVC) ウェブページ Application もし未知の場合は Visibility & 該当ページを解析 Control Web Reputation 1. コンテンツのスキャン URLデータベース Webpage ファイル レピュテー ション アウトブレイク インテリジェン ス 既知の場合 Anti-Malware www.website.com 2. 最も危険なカテゴリに 関連するスコア • • • • • Allow アンチ マルウェア www.website.com ファイル サンドボックス 3. 分類の割り当て 許可 Cognitive 警告 Threat ファイル レピュテーション File Reputation Analytics ブロック Outbreak Intelligence 4. ポリシーの実施 ポルノ ポルノ ギャンブル ヘイトスピーチ 違法薬物 違法ダウンロード Warn Partial Block Block URLカテゴリとブロックページ Unclassifiedもブロック することが可能 URLの分類の確認 • https://securityhub.cisco.com/web/submit_urls • 分類されているか確認 • 再分類リクエストの提出 • 全てのリクエストとその結果のトラック • CCOログインが必要 ウェブレピュテーション -10 -9 -8 -7 -6 -5 -4 -3 -2 -1 0 1 2 3 4 5 6 7 8 9 10 IP Reputation Score ウェブ フィルタリング ウェブ レピュテーション Application Visibility & Control Webpage Anti-Malware www.website.com File Reputation Who Where How When example 疑わしい Example.org 192.1.0.68 17.0.2.12 .com ドメインオーナー サーバがハイリス サーレム サンノゼ シドニー ロンドン クなロケーション ダイナミック HTTPS HTTP SSL IP address ウェブサーバ ドメイン登録 <> <12 1ヶ月 分 年 Outbreak Intelligence 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0101 1100110 1100 111010000 110 0001110 00111 010011101 11000 0111 00 01110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100 0010 010 10010111001 10 100111 010 00010 0101 110011 011 001 110100001100001 1100 0111010011101 1100001110001110 1001 1101 1110011 0110011 101000 アプリケーションビジビリティ&コントロール (AVC) 利用アプリの特定 特定 トップユーザのモニタリング ウェブ レピュテーション アプリケーション Webpage ビジビリティ& アプリの悪用を制御 コントロール (AVC) Anti-Malware www.website.com モニタリング • ウェブリクエスト 毎に100 のアト リビュート • アップロード/ダ ウンロードの許 可または拒否 • 10,000のレポー • 投稿やタグ付等 • カスタマイズ可 能で、マウスで のクリックやド ロップメニュー シンプルな設定 File Sandboxing File トバリエーション Outbreakのアクティビティ 制御 Reputation Intelligence • アプリ特有のレ ポート 本社 制御 容易に実行可能 • ウェブメールや File インスタントメッ Retrospection セージの制御 スケール可能 AVC アプリケーション 複数のアンチマルウェアスキャンエンジン シグネチャベースのAV エンジン アンチ マルウェア シグネチャベース のスキャンエンジ ンを利用し、効率 を最適化 アウトブレイク インテリジェンス リアルタイムな ヒューリスティック エンジンにより未知の 脅威やデイゼロ アウトブレイクを検知 WWW 既知のマルウェア はブロック アウトブレイク インテリジェンスTM Talos CTA After ウェブ フィルタリング ウェブ レピュテーション アプリケーション ビジビリティ& コントロール (AVC) ウェブページ www.website.com アンチ マルウェア ファイル レピュテー ション アウトブレイク インテリジェン ス www ファイル サンドボックス CTA ネットワーク 振る舞い 分析 ファイル レピュテーション X トラフィッ クのリダ イレクト X ASA WSA X Standalone X ISR G2 X X AnyConnect www www 運用 管理者 本社 レポーティング www ログ抽出 許可 本社/大規模オフィス 拠点ユーザ 社外ユーザ 警告 ブロック 一部ブロック CWSのさらなる付加価値 高度な攻撃 (複数ファイルを利用、長期に渡る攻撃等) への対策 • シスコのCWSは追加の差別化要素として、CWS premiumライセンスのもとで、AMP (Advanced Malware Protection) とCTA (Cognitive Threat Analytics) テクノロジーを提供します • CWSに完全に統合されており, During および After フェーズをカバーします • 設定やチューニングは不要です • AMPはファイルレピュテーションに基づき、インラインブロックで追加の “ポイント イン タイム” 保護を提供 します • レトロスペクティブセキュリティと継続した分析 • AMPサンドボックスエンジン • AMPレトロスペクションエンジン • Cognitive Threat Analytics (ネットワーク振る舞い分析) CWS Premium まとめ • CWSはグローバルで展開できるクラウド型プロキシサービスであり、 ウェブに特化したセキュリティサービスです。 • 接続方法にはいくつか方法がありますが、既存のシスコ機器 (ASA、ISR G2、WSA) と連携させることが可能です。 • CWSへ範囲を広げることで、WAN案件等の最大化が可能となります。 はじめに Cloud Web Security概要 CWSの展開方法 アジェンダ CWSの機能紹介 Appendix: トラブルシューティング • CWSへの接続性確認 • 各種コネクタ利用時のトラブル シューティング Appendix: トラブルシューティング トラブルシューティングツール - whoami • ユーザやグループがCWSプロキシに正しく届いているかを確認するには、ブラウザから以下の リンクへアクセス • http://whoami.scansafe.net CWSが動作していれば、下のようなユーザ、グ ループおよびアカウントの詳細が確認できます。 ユーザのトラフィックがクラウドへ正しく届いていな い場合は、下の様なメッセージが表示されます。 トラブルシューティングツール - Policy Trace 1. CWSに接続しているクライアントでブ ラウザを起動 2. 以下のURLを入力 http://policytrace.scansafe.net 3. 右上の様な “Enter URL:” と記載さ れたページが表示されます 4. 入力ボックスにPolicy traceを行いた いURLを入力し、Goをクリック 5. 右下の様に、そのウェブサイトの利 用者に適用されるポリシーアクション が表示されます トラブルシューティング - ASA ASDMによるASAとCloudの接続性確認 ASDMのPing toolを利用 – 3 ウェイハンドシェイクで実 行されます。 (SYN リクエスト) CLIによるASAとクラウドの接続性確認 CWSプロキシとの接続性を確認するには、ASAのCLIから以下のコマンドを実行します: show scansafe server もしアクセス可能であれば、”REACHABLE” と表示されます: ciscoasa(config)#show scansafe server Primary: proxy444.scansafe.net (172.37.44.15) (REACHABLE)* Backup: proxy555.scansafe.net (80.204.15.88) もしアクセス不可であれば、”UNREACHABLE” と表示されます。 Primary: proxy444.scansafe.net (NOT RESOLVED) (UNREACHABLE) for last 12 secs, tried to connect 0 times Backup: proxy555.scansafe.net (NOT RESOLVED) (UNREACHABLE) for last 12 secs, tried to connect 0 times Identity設定の確認 • ASDMのToolを使ってADとの接続性およびユーザlookupの確認が可能です AD agentとの接続性確認 • ASDMのToolを使ってAD agentとの接続性が確認が可能です CLIによるセッションと統計情報の確認 リダイレクトされたトータルセッション数を見るには、 show scansafe statistics コマンドを使います。 ホワイトリスト化されたセッション (コネクタをバイパスし、直接インターネットへアクセスする通信) も 同様に確認可能です。 ciscoasa(config)#show scansafe statistics Current HTTP sessions : 12 Current HTTPS sessions : 0 Total HTTP Sessions : 102 Total HTTPS Sessions : 0 Total Fail HTTP sessions : 0 Total Fail HTTPS sessions : 0 Total Bytes In : 6532 Bytes Total Bytes Out : 66622 Bytes HTTP session Connect Latency in ms(min/max/avg) : 0/0/0 HTTPS session Connect Latency in ms(min/max/avg) : 0/0/0 ASDMによるセッションと統計情報の確認 • ASDMでも様々なコマンドが実行可能です。 トラブルシューティング – ISR G2 ISR G2 での診断 – クラウドとの接続性確認 CWSプロキシへの接続性確認の最初のステップです。 以下のコマンドを利用します: show cws summary もし接続性が確保されているならば、Upと表示されます: router#show cws summary Primary: 172.75.240.15 (Up)* Secondary: 87.223.142.99 (Up) Interfaces: GigabitEthernet0/0 • “*” は現在利用しているプロキシを示します。 • もし、接続性が確保されていない場合は、”down” と表示されます。 診断 - ISRからクラウドプロキシへのTelnetテスト クラウドプロキシへ 8080 ポートを利用して Telnet することもできます: 以下のような Open メッセージはクラウドへの接続性があることを意味します: ! Connectivity between ISR G2 and ScanSafe Tower router#telnet 172.75.240.15 8080 Trying 172.75.240.15, 8080 ... Open • もし、接続性がない場合は、telnetはタイムアウトし、切断されます: ! No connectivity between ISR G2 and ScanSafe Tower router#telnet 172.75.240.15 8080 Trying 172.75.240.15, 8080 ... % Connection timed out; remote host not responding セッションフローの確認 リダイレクトされたトータルのセッションを以下のコマンドで確認することが可能です。同様にホワイトリスト化されたトラフィッ ク (コネクタをバイパスし、直接インターネットへ抜けている通信) も確認可能です。 show cws statistics: router#show cws statistics Current HTTP sessions: 49 Current HTTPS sessions: 2 Total HTTP sessions: 1486 Total HTTPS sessions: 406 White-listed sessions: 0 Time of last reset: never セッションフローの確認 (続き) Details: Max Concurrent Active Sessions: 55 Connection Rate in last minute: Redirected HTTP: 64 HTTPS: 2 White-listed IP-Based: 0 User/User-group: 0 Header-Based: 0 クラウドプロキシへのリダイレクトが成功しているHTTPおよびHTTPSのセッション数が確認できます。 クラウドへリダイレクトされている現在のアクティブセッションの確認 クラウドプロキシへリダイレクトされた個別のアクティブセッションを見るには、以下のコマンドを利用します。 show cws session active: router#show cws session active Protocol Source Destination Bytes HTTP 10.32.251.117:52790 157.166.226.25:80 (8896:26025 ) 00:00:12 URI: www.cnn.com Username/usergroup(s): ciscouser/ ciscogroup Time URI HTTP リクエストのみの表示され、HTTPS リクエストでは表示されません。 多くのユーザが接続しているような状況では、このコマンドは大量の出力となる可能性があります。その際は、URI や ユー ザネーム/グループ、IP addressなどでフィルタすると閲覧しやすくなるかもしれません。 エントリー、コネクション、HTTP/Sリクエストの確認 • 以下のコマンドはトラブルシューティング時にCisco TACエンジニアか取得を依頼されることがあります。 show cws statistics memory-usage: router#show cws statistics memory-usage Chunk Name Size(bytes) Chunks in use Content-Scan entry 4128 23 Content-Scan Connection 904 23 User-Group 84 23 HTTP Request 7464 HTTPS Request 6964 0 HTTPS SSL 512 0 Buffer Packet 24 0 0 トラブルシューティング – リクエストが失敗する場合のチェック • • ページがロードされない、または、ロードに時間がかかるという場合に、以下のコマンドが役立つことがあります。 show cws statistics failures これは何が原因で失敗しているのかを直接確認することはできませんが、TACでの解析に役立つ可能性があります。 router#show cws statistics failures Reset during proxy Mode: HTTPS reconnect failures: Buffer enqueue failures: Buffer length exceeded: Particle coalesce failures: L4F failures: Lookup failures: Memory failures: Tower unreachable: Resets sent: 0 0 0 0 0 0 0 0 0 0 ユーザ認証のステータステスト もし、ユーザ認証が最大許容数を越えて失敗する場合、ユーザは一定期間、サービス拒否の状態に陥ります。 (デフォルト30分、設定変更可能) ユーザステータスを確認するには、以下のコマンドを利用します。 show ip admission cache 以下は正しく認証されたユーザの場合です。 router#show ip admission cache Authentication Proxy Cache Client Name cisco, Client IP 10.10.10.4, Port 59400, timeout 1440, Time Remaining 1440, state ESTAB ユーザ認証のステータステスト (続き) • 正しくないログインを繰り返した後、サービス拒否の状態にあるユーザは以下のようなステータスとなります: router#show ip admission cache Authentication Proxy Cache Client Name guest, Client IP 10.10.10.4, Port 59527, timeout 1440, Time Remaining 2, state SERVICE_DENIED • 管理者は以下のコマンドを使って手動で該当ユーザを再度認証可能な状態に復旧させることができます。 clear ip admission watch-list [* | ip address]