Transcript PPT
PSU Week 2015 May [SEC-2] セキュリティ製品の提案事例のご紹介 セキュリティ事業 セキュリティ アカウント マネージャ 荒島 麻依子 シスコ セキュリティの歴史 2013 2014 2012 2004 2007 2009 NGIPS / Anti-Malware UTM Sandbox Cloud Security NAC addition Security Analytics Messaging and Web Security Appliance シスコ セキュリティ ポートフォリオ FW & 次世代FW IPS & 次世代IPS メールセキュリティ ウェブセキュリティ ASA / ASAv FirePower FirePower Services ESA / ESAv WSA / WSAv CWS UTM 認証・検疫・BYOD リモートアクセス マルウェア対策 Meraki ISE AnyConnect Cisco AMP Big Data 情報量が豊富なシスコ独自の脅威DB セキュリティは情報の質と量が命! 世界中のシスコ製品から上がってくる最新の脅威情 報を独自のクラウド環境で収集・分析しており、最新 の脅威への対策がお客様のシスコ・セキュリティ製品 に反映。 世界中の脅威を収集 世界中160万台のシスコ機器から情報を収集 1日に100 TBのデータ、130億のHTTPを解析 全世界のEメールトラフィックの35 %以上を網羅 600名以上のエンジニアや専門家、研究者が24時間体制で解析 Collective Security Intelligence マルウェア 問い合わせ ASA with FP Services 世界中の脅威を収集 結果 FirePOWER ESA WSA 各種端末 アジェンダ • マイナンバー対策 • 有線・無線の統合管理ソリューション • Squidの運用・管理の負担増対策 • 【参考】BIG-IPとFirepowerアプライアンス(IPS専用機)の連携 ソリューション • 最後に マイナンバー対策 【参考】マイナンバーとは(内閣官房 マイナンバー社会保障・税番号制度 ページより) マイナンバーは、住民票を有する全ての方に1人1つの番号 (個人:12桁、法 人:13桁)を付して、社会保障、税、災害対策の分野で効率的に情報を管理し、 複数の機関に存在する個人の情報が同一人の情報であることを確認する ために活用されるものです。 【参考】マイナンバーを含む個人情報の取り扱いについて 内閣官房 マイナンバー社会保障・税番号制度 ページより • 特定個人情報とは、マイナンバーをその内容に含む個人情報のこと 安全管理措置が必要 罰則の強化 お悩み例:マイナンバー対策 お客様の抱える課題 Ciscoからのご提案 •“マイナンバー制度”の導入に伴 • 外部からの犯行対策と内部での犯 い、従業員から個人番号を預か 行対策の両方が必要です。 ることになる。 アクセス制御 •マイナンバー制度の施行に伴う アクセス者の識別と認証 特定個人情報の漏えいに対する 外部からの不正アクセス等の防 止 罰則は厳しいらしい。 •セキュリティ対策は生産性を生 情報漏えい等の防止 まないコストなので、対策が後手 • シスコのおなじみのセキュリティ製 後手となっていたが、対策をしな 品で対応可能製品をご紹介いたし いと。 ますね。 本ソリューションを構成する製品+テクノロジー アクセス制御・アクセス者の識別と認証 対応製品 例) アクセスマイナンバー関係業務従事者、システム 取り扱い者の特定 管理者(アプリケーション開発担当者含む)の明 確化 Cisco ISE TrustSec アクセス制限 例) ID + 職務 + 権限 さらに、端末、接続方法、場所、時間での制限 Cisco ISE TrustSec 外部からの不正アクセス等の防止・情報漏えい等の防止 対応製品 リスクの把握と 事前対策 例) サーバおよびクライアントの脆弱性の把握 ウィルス、マルウェア対策 ASA with FirePOWER 標的型攻撃対策 情報漏洩につながるようなアプリケーションの抽出 Services 流出の起因となる 攻撃の防御 例) ファイアウォール + IDS(侵入検知)/IPS(侵入防 止システム)の導入 外部との不正通 信の防御 情報漏えい対策 FireSIGHT Management Center 例) マルウェアに感染したホストの把握 例) マルウェアに感染した端末からの不正通信の防御 AMP for Endpoints 例) 内部から外部に送信されるファイルの中身を精査 し、不正送信を防止 送信メールの暗号化 ESA ※対応製品機種名一覧は別紙参照 マイナンバー対策ソリューション構成イメージ 情報漏えい等の対策 ESA 内部から外部に送信される ファイルの中身を精査し、不正 送信をブロック DMZ 外部からの不正アクセス等 の防止 ASA with FirePOWER Services FireSIGHT Management Center 外部からの攻撃の可視化とブ ロック サーバセグメント マイナンバー業務サーバ・ファイルサーバ AD 中心拠点 アクセス制御・ アクセス者の識別と認証 ISE ネットワークレベルでのアク セス制御 情報漏えい等の対策 外部からの不正アクセス等の防止 AMP for Endpoints マルウェアの侵入防御 すりぬけたマルウェアの隔離と侵入経 路解析 キープロダクト① ASA with FirePOWER Services FireSIGHT Management Center マイナンバー対策ソリューション構成イメージ 情報漏えい等の対策 ESA 内部から外部に送信される ファイルの中身を精査し、不正 送信をブロック DMZ 外部からの不正アクセス等 の防止 ASA with FirePOWER Services FireSIGHT Management Center 外部からの攻撃の可視化とブ ロック サーバセグメント マイナンバー業務サーバ・ファイルサーバ AD 中心拠点 アクセス制御・ アクセス者の識別と認証 ISE ネットワークレベルでのアク セス制御 情報漏えい等の対策 外部からの不正アクセス等の防止 AMP for Endpoints マルウェアの侵入防御 すりぬけたマルウェアの隔離と侵入経 路解析 ASA with FirePOWER Services FireSIGHT Management Center UTMを超えた 統合セキュリティアプライアンス FirePOWERシリーズ専用 集中管理・解析サーバ • 統合セキュリティアプライアンスとして下記機 能を一台に集約。 ファイアウォール アプリケーション・ネットワークの可視化 次世代IPS URLフィルタリング マルウェア防御 すり抜けたマルウェア侵入経路解析 • ファイアウォールでは防げない攻撃を防御す るための追加セキュリティ対策 • FirePOWERシリーズの運用に必須となるア プライアンス。 • FirePOWERシリーズの中枢となるアプライア ンス。 • 運用管理機能だけでなく、脅威情報の可視 化と分析機能も搭載。 ASA with FirePOWER Services 豊富なラインナップ デスクトップ+ラックマウント ASA5506/5508/5516(順次リリース予定) ミッドレンジ ASA5512 〜 ASA5555 ハイパフォーマンスモデル ASA 5585-X 一台に多種、多様な機能を実装。 Basic F/W 機能 次世代型 F/W機能 次世代型 IPS機能 マルウェア 防御 すり抜けたマル ウェア侵入経 路解析 リモートアクセス VPN機能 2015年新登場 新しいASA 5500-Xシリーズアプライアンス FirePOWERソフトウェア・インストール済み。 Q3FY15 FirePOWER Services機能(AVC、URLフィルタリング、IPS、アンチマルウェア)に対応。 共通 On-Boxマネジメントツールで対応可能。 7月リリース予定 5506-X デスクトップ・モデル • ASA 5505の後継機 5506W-X ワイヤレス デスクトップ・モデル • ASA 5505の後継機 • ASA 5506-XのAP搭載モ デル 5508-X 5516-X 1RU ラックマウント型 1RU ラックマウント型 • 新形態 • 1RU • ASA5508-Xの上位機種 • 新形態 • 1RU 【参考】パートナーセントラル セキュリティ関連資料 イチオシ機能:次世代IPS機能の特長① 実績に裏打ちされた高度で高性能な防御機能を搭載 業界最高水準のIPSエンジン “Snort”を搭載 ↓ 世界中が選んだIPS & 自由度の高いチューニング 世界最大の利用実績に裏付け られた高い検知性能 Windows のゼロデイ脆弱性の 同日カバー率業界トップ Snort:世界中のIPSエンジニア が利用する共通言語 検知ロジック100%開示 イチオシ機能:次世代IPS機能の特長続き 世界最大の利用実績に裏付けられた高い検知性能 世界で30万センサー稼働中 Windows のゼロデイ脆弱性の同日カバー率業界トップ パッチ公開直後を狙った脆弱性をつく攻撃へ の対応力業界No.1 業界最高水準のIPSエンジン “Snort”を搭載 Snort:世界中のIPSエンジニアが利用する共通言語 ↓ 対応シグネチャ数:2万超 世界中が選んだIPS あらゆるプロトコルをサポート & 各種業界団体が提唱するシグネチャにもス 自由度の高いチューニング ピーディーに対応 検知ロジック100%開示 “ブラックボックス”なし イチオシ機能:次世代IPSの特長② IPSに係るお悩み • • • • IPSは難しそう…。 運用できないのではないかしら…。 セキュリティはハードルが高い…。 だからといって運用を外部にするにはコ ストが気になる…。 お任せください! CiscoのIPSは“次世代”IPSです!! 何が次世代? 動的に監視対象を把握し、最適チューニ ングを自動的に行うIPS 次世代機能 可視化 • 自動化 • 優先順位付け • ポイント 高品質なIPSをお手軽にお使いいただけるよう運用管 理者の負荷を削減する機能を標準搭載 IDSとしてもご利用いただけるようになりました ASA 9.3(2) より下記事項が正式サポートとなりました トラフィックを SPAN で ASA に飛ばし、 ASA with FP Services の FirePOWER 機能を、 ASA の機能を全くバイパスして、 IDS (モニタのみ) として使う。 • Cisco ASA Series Firewall CLI Configuration Guide, 9.3 http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/firewall/asa-firewall-cli/modules-sfr.html#pgfId-1539107 • Cisco ASA Series Command Reference, T - Z Commands and IOS Commands for the ASASM http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t2.html#pgfId-1614309 イチオシ機能:AMP(Advanced Malware Protection) マルウェア防御・マルウェアの侵入経路を一気通貫で解析 従来のUTMでは実現できなかったマルウェアへのさらなる防御と対策を実現 侵入防御 ASAに搭載されたAMP機能が、今、ま さにダウンロードしようとしているファイ ル がウィル ス 、 マルウェ アで な い か チャック。マルウェアであればもちろん シャットアウト。 常時監視 疑わしいファイルはダウンロード後も 継続的にマルウェアでないか調査。追 跡しているファイルがマルウェア認定 された場合にすぐに対応できるよう常 時監視。 経路解析 残念ながらマルウェアが侵入している ことが発覚した場合、「最初に感染し たのはデバイスはどれか?」「現在そ のマルウェアはどのシステム上に存在 するのか?」まで明らかに。 イチオシ機能:AMP 定常的なマルウェアの検出・防御だけでなく、感染時の迅速な対応にも有効 ファイルをハッシュ値で特定 解析情報(サンドボックス含む)と連携 ネットワーク上での拡散状況を可視化 AMP for FirePOWERシリーズの仕組み パブリッククラウド Dynamic Analysis Cloud AMP Cloud ・ファイル ハッシュ値 ・関連データ ファイルハッシュ値を利用したシグネチャ レスのマルウェア検知 • サポートプロトコル • • ・結果 - Clean - Unknown - Malware FireSIGHT ・スコア ・分析サマリ リコール • • ポイント 自動:実行ファイル 手動:Officeドキュメント, アーカイブ、マルチ メディアファイル、実行ファイル, PDF etc. レトロスペクティブセキュリティ • ファイル ダウンロード ヒューリスティック解析(MSEXEのみ) ダイナミック分析(クラウドサンドボックス) • • キャッシュ ファイルストレージ FirePOWERシリーズ SPERO解析 • • HTTP、SMTP、POP3、IMAP、FTP、SMB 継続解析した結果をクラウドリコール • 各エンドポイントへ実装しないので、実装が容易 • L2で透過的な実装の為既存ネットワークに簡単に導入可能 • パッシブ構成も可能な為、100%ネットワークに影響を与えない形 で監視させることも可能 • ネットワーク上でマルウェアをブロック可能(インライン) FireSIGHT Management Center • FirePOWERシリーズ専用集中管理・解析サーバ • ASA with FirePOWER Servicesアプライアンスに対して最低1台必要 ASA 5506-X、5508-Xおよび5516-XはASDMによるオンボックスマネージメ ントにも対応。 • アプライアンス版とバーチャルアプライアンス版 アプライアンス 仮想アプライアンス ※ FS750 FS1500※ FS2000 FS4000 管理センサー数:2※※、10※※、25 EOS/EOL情報 http://www.cisco.com/c/en/us/products/collateral/security/firesight-management-center/eos-eol-notice-c51-734652.html ※※ASA with Firepower Services専用(2015年5月現在) FireSIGHT Management Center FSMC搭載機能(その1):Application Visibility Control 利用されているWebアプリケーション、クライアントアプリケーション、サーバアプリケーショ ン、利用量、リスク統計から、問題点を的確に捉え、アプリケーション制限を実施し、リスク を軽減することが可能。 利用ユーザ トップアプリケーション Webアプリケーション 利用端末OS アプリケーションリスク統計 ビジネス関連性統計 サーバアプリケーション クライアントアプリケーション 3,000以上のアプリ ケーションから、利 用状況をチェック FireSIGHT Management Center FSMC搭載機能(その2):ネットワークマップ • 対象ネットワーク上のホストに関する情報を収集し管理 • インシデント解析や自動チューニングのベースとなる情報 • 収集情報例 • • • • • • • 存在するホスト(IPv4, IPv6) ホップ数 オペレーティング システム アプリケーション ポート プロトコル 脆弱性 FireSIGHT Management Center FSMCの搭載機能(その3): 次世代IPS“自動チューニングとインパクト解析” 一般的な侵入検知機器(IPS)の 運用者が抱える問題 沢山のログが出るが本 当に重要なものがわか らない・・・ 自動チューニング機能 ネットワーク環境を自動学習し最 適な推奨設定を自動生成 インパクト解析 攻撃と対象端末情報を解析し本当に危険度の高いログを識別 攻撃の緊急度 “High”のアラート数: 1433 実インパクト “High(1)”のアラート数: 106 FireSIGHT Management Center FSMCの搭載機能(その3)続き: 次世代IPS機能“インパクトフラグ” 数多く発生する攻撃やスキャニングといったインシデント(事象)から、悪意があり、かつ効 果のある攻撃を、重要度“高”としてインパクトフラグ“1”として判定。 IMPACT FLAG 全インシデントについて、内部のサーバ、アプリケー ションと関連付け、インパクトフラグを付与 ADMINISTRATOR ACTION WHY 1 即対応:脆弱性に対し緊 急度の高い攻撃 サーバの脆弱性を突いた 攻撃 2 要調査: 脆弱性を突いて いない攻撃 有効なPortへの攻撃だが、 脆弱性無し 3 要認識:現状では有効で はない攻撃 現状では開いていなPortt への攻撃 4 要確認:攻撃対象不明 無効なサーバに対する攻 撃 0 要確認:攻撃対象ネット ワーク不明 無効なネットワークに対す る攻撃 対応すべきインシデント(事象)が明確になり、より迅速で最適な対応が可能。 キープロダクト② AMP for Endpoints マイナンバー対策ソリューション構成イメージ 情報漏えい等の対策 ESA 内部から外部に送信される ファイルの中身を精査し、不正 送信をブロック DMZ 外部からの不正アクセス等 の防止 ASA with FirePOWER Services FireSIGHT Management Center 外部からの攻撃の可視化とブ ロック サーバセグメント マイナンバー業務サーバ・ファイルサーバ AD 中心拠点 アクセス制御・ アクセス者の識別と認証 ISE ネットワークレベルでのアク セス制御 情報漏えい等の対策 外部からの不正アクセス等の防止 AMP for End points マルウェアの侵入防御 すりぬけたマルウェアの隔離と侵入経 路解析 AMP for Endpoints(端末専用AMP) デバイス調査(Device Trajectory) ファイル追跡(File Trajectory) 感染 infection 潜伏 incubation 拡散 outbreak トラジェクトリ ハッシュエンジン ETHOSエンジン クラウドリコール デバイスフロー コリレーション SPEROエンジン クラウドサンドボックス Cisco AMP 機能①:デバイス調査(Device Trajectory) Device Trajectory で、感染PC内のマルウェア感染挙動を管理画面で見るこ とができます。例えば、どのブラウザを使って、どのサイトから、どんなファイ ルをダウンロードしたかを知ることができます。 マルウェアに感染した端末内で 何が起きていたかを可視化 機能②:ファイル追跡(File Trajectory) File Trajectory で、マルウェアが社内ネットワーク上でどのように広がってい るかを分析することができます。いつどの端末でマルウェア感染したのかが 判ります。 マルウェアがどの端末に拡散しているか を瞬時に把握 機能③:ファイル解析(File Analysis) File Analysis では、不審なファイルを自動で解析することができます。 管理 コンソールから不審なファイルをクラウドにアップロードするだけで、短時間で 解析結果が分かります。 不審なファイルの危険性がインジケータ ですぐに確認可能 詳しくは@ITで 『「そのとき、何が起こったか」をさかのぼって分 析:“セキュリティ探偵”を助けるシスコの標的型攻撃対策ソリューション』 http://www.atmarkit.co.jp/ait/articles/1405/1 9/news004.html キープロダクト③ ESA マイナンバー対策ソリューション構成イメージ 情報漏えい等の対策 ESA 内部から外部に送信される ファイルの中身を精査し、不正 送信をブロック DMZ 外部からの不正アクセス等 の防止 ASA with FirePOWER Services FireSIGHT Management Center 外部からの攻撃の可視化とブ ロック サーバセグメント マイナンバー業務サーバ・ファイルサーバ AD 中心拠点 アクセス制御・ アクセス者の識別と認証 ISE ネットワークレベルでのアク セス制御 情報漏えい等の対策 外部からの不正アクセス等の防止 AMP for End points マルウェアの侵入防御 すりぬけたマルウェアの隔離と侵入経 路解析 Cisco ESA CiscoESAはメールセキュリティ対策に必要な全ての機能を、1台で包括的に実 現します。 全ての機能が同一の筐体にて設定可能で、また、一度設定すればその後のメ ンテナンスがほとんど必要ありません。 スパム対策 • レピュテーションフィル • IronPort AntiSpam メール暗号化 • PXE • TLS 複数の解析エンジンによるアンチウィルス・アン チスパイウェア 日本語による管理ツール ウイルス拡散防止フィルター機能 DLP機能 • コンテンツフィルタリング • メッセージフィルタリング • 添付ファイル監査 • RSA DLP 日本語によるレポーティング機能 イチオシ機能①:メール暗号化機能(PXE) 1. 送信者が社内からメールを送信す ればESAが自動的に暗号化してメー ルを配信。 2. 受信者は受信メールに添付された htmlファイルをWEBブラウザで開き、 パスワード入力(ユーザ認証)するこ とで暗号化されたメールを復号。 メールの閲覧が可能になります。 3. クライアント側にアプリケーションの インストールが不要で、送信者・受 信者とも暗号化を意識することなく 利用頂けます。 イチオシ機能②:コンテンツフィルター機能 メールの内容を監査し、ポリシーに応じた処理を適応させるための機能。 1. ESAの辞書機能にマイナンバー関連の情報が検索できるような正規表現を登録。 2. メッセージ本文または添付ファイルのコンテンツが、ESAの辞書に登録されているデー タと一致するかどうかを判別し、同じくESAに指定された方法(例:暗号化して送信する、 隔離する等)で処理します。 BOM例:ASA with FirePOWER Services/ FireSIGHT Management Center 想定 期待スループット:350Mbps程度 機能:統合的なセキュリティ対策機能(ベーシックファイアウォール、アプリケーションの可視化・制御(AVC)、次世代IPS、 マルウェア対策(防御およびすり抜けたマルウェアの侵入経路解析)および冗長構成(ホットスタンバイ)、電源冗長 セキュリティアプライアンス(ライセンス期間は1年) Item Name ASA5555-FPWR-BUN ASA5555-FPWR-K9※ SF-FP5.3.1-K9 ASA5555-CTRL-LIC ASA-PWR-AC L-ASA5555-TAMC= L-ASA5555-TAMC-1Y Description Quantity ASA 5555-X with FirePOWER Svcs. Chassis and Subs. Bundle ASA 5555-X with FirePOWER Services 8GE AC 3DES/AES 2SSD Cisco FirePOWER Software v5.3.1 Cisco ASA5555 Control License ASA 5545-X/5555-X AC Power Supply Cisco ASA5555 FirePOWER IPS Apps AMP and URL Licenses Cisco ASA5555 FirePOWER IPS, AMP and URL 1YR Subs 集中管理・解析サーバ(バーチャルアプライアンス) Item Name Description Cisco FireSIGHT Management Center (VMWare) for 10 devices FS-VMW-10-SW-K9※※ SW APP SUPP + UPGR Cisco FireSIGHT Mana CON-SAU-VMWSW10※※※ 2 2 2 2 2 2 2 Quantity 1 1 ※ 本体保守、電源ケーブル等細かいパーツのSKUは省略しております。 ※※ FireSIGHT Management Center および CSM を収容するVmwareおよびサーバが別途必要。 ※※※ CON-SAU-VMWSW2 は、FireSIGHT Management Centerのアップグレード権利の為、不要な場合には削除可能。 BOM例:ESA 想定 メールアドレス数:1,000 機能:MTA、コンプライアンス、Eメールの暗号化とデータ損失防止 シングル構成 ESA(ライセンス期間は1年) Item Name ESA-C380-K9 SF-ESA-8.5.6-K9 ESA-ESO-LIC= ESA-ESO-1Y-S4 Description ESA C380 Email Security Appliance with Software ESA Async OS v8.5.6 ESA Outbound SW Bundle (DLP Encryption) License ESA Outbound SW Bundle(ENC+DLP) 1YR Lic 1K-1999 Users ※ ※ 本体保守、電源ケーブル等細かいパーツのSKUは省略しております。 冗長構成の場合はアプライアンス本体の数量を2としてください。 Quantity 1 1 1000 1000 サンプルBOM:AMP for Endpoints 想定 メールアドレス数:1,000 機能:マルウェア感染の経路の自動追跡、感染したPC やマルウェアの検体の特定、 マルウェア感染が発生した際の フォレンジック機能 Cisco AMP for Endpoints(ライセンス期間は1年) Item Name FP-AMP-LIC= FP-AMP-1Y-S4 Description Cisco Advanced Malware Protection Service License Cisco Advanced Malware Protection 1YR 1K-4999 Nodes Quantity 1000 1000 有線・無線の統合 管理ソリューション お悩み例:複雑化するネットワーク管理 お客様の抱える課題 Ciscoからのご提案 •“複数SSID”と“複雑なVLAN”を両 シスコOnlyな認証・アクセス管理技 方管理しないといけない。→運用 コスト・増。 •拡張・変更時にはネットワーク全 体で設計しなければならず、全体 最適・設定変更が必要となってい る。 •急ぎで対応しなければならない場 合が本当に大変。 術「TrustSec」を有線・無線LAN環 境に導入していただくことにより、 • “単一SSID”と“単一VLAN”による シンプル運用で、運用コストを削 減! • 有線LAN/無線LANを統合ポリ シー(セキュリティ/アクセス制御) で管理者負担を軽減! ができます。 本ソリューションを構成する製品+テクノロジー 対応製品 スイッチ Catalystシリーズスイッチ 認証・ポリシー管理サーバ Cisco ISE 認証・アクセス管理の方法 TrustSec 無線LAN Cisco WLC / AironetシリーズAP “TrustSec”の採用による 複雑化する社内ネットワークの運用負荷軽減 導入前 導入後 ACL、VLAN等のアクセス権・ポリシーの設計で、 管理時間大 各拠点/サイトの機器へログイン後に設定するた め、作業量大 ◎ ユーザIDやデバイス単位のアクセス権・ポリシーの設計 で、管理時間減 ◎ Cisco ISEに設定するだけで全拠点に設定投入できるた め、作業量少 タグ IT管理者 VLAN 設計書 VLAN IT管理者 •ユーザID・デバイス毎のアクセス制御 (ACL/VLAN以上のきめ細かい制御) •ユーザIDやデバイスIDによる制御 設計書 Cisco ISE 設定 • GUIによる設定 管理 • ユーザ利用状況の表示 ログイン→設定 拠点 拠点 拠点 拠点 • • • • LANスイッチ ルータ 無線LAN ファイアウォール 拠点 拠点 拠点 拠点 • • • • LANスイッチ ルータ 無線LAN ファイアウォール キープロダクト① Cisco ISE(Identity Services Engine) Cisco ISE 昨今のワークスタイルに求められるマルチ デバイス環境に対応した高機能認証サーバ Anti-BYOD / BYOD 不正端末排除 私物端末利用 ゲストアクセス 認証、アクセス制御 企業ネットワーク全体に共通ポリシーを適用 (有線、無線、VPNアクセスにおけるユーザ管理の統合) Cisco Family 3rd Party Device セキュアアクセス これまでのIDマネージメントとCisco ISEとの比較 一般的な認証サーバでの管理項目 ユーザ IPアドレス 時間 Cisco ISEでの管理項目 ユーザ IPアドレス 時間 端末 場所 状態 接続方法 カスタム条件 一意的なID/IPでの管理ではなく、ユーザの利用している端末種別、その端末の 状態、接続方法、セキュリティ対策の有無など、様々な要素でのIDマネージメント が可能 Cisco ISEの主な搭載機能 認可 認証 ✔ プロファイリング(端末識別) Network Policy ゲストアクセス 検疫 BYOD対応・管理・プライベートCA 端末種別・MACアドレス 合格 Internet Easy! 証明書・サプリカント設定の配布 ✔ 不合格 Cisco ISEのご利用シーン マルチデバイス環境を実現するための様々な課題に対応します 接続端末の可視化 端末管理・証明書配布サービス ? IP:192.168.83.242. MAC:xxx 13時に東京ビルの2階会議室に接続 ユーザAさんのiPad (ver 6.0) BYODのためポリシーアクセス拒否 コンプライアンス準拠 IT管理者の個別対応 利用者のセルフサービス セキュアなゲストアクセスサービス ゲストアクセス環境が不整備だと・・・ 無線ルータ不正利用 ポリシー違反端末 端末検疫 MDM管理 ※MDM: モバイルデバイスマネジメント WiFi固定キーの流出 申請者向け 一時アクセス キーテクノロジー① Cisco TrustSec Cisco TrustSec TrustSecとはシスコが独自開発したIPアドレスに依存しないアクセス管理を実現す る認証・アクセス管理の方法です。(アプライアンスではありません。) 従来のACLに代わり、TrustSecを使うことにより ①アクセス管理をシンプルにできる。 ユーザID、デバイスIDで管理し、複雑なACLやVLANの管理から開放される。 ②セキュリティに対して迅速に対応できる。 有線・無線LANへ誰がアクセスし、何をしているのか可視化できる。 ③全社に統一ポリシーを適用できる。 機器、棟、フロア単位で管理することなく、ポリシー設定を展開できる。 TrustSecによるアクセス制御(イメージ) デスティネーション SGT ソース SGT 営業 パブリックポータル 営業ポータル IT ポータル マイナンバーDB ウェブ ウェブ ウェブ アクセス不可 ウェブ アクセス不可 ウェブ アクセス許可 人事・給与担当 タグによるアクセス ポリシーを簡素化することで 複雑なリソース関係を安全に保つことが可能 Cisco ISEへの設定方法(設定画面) アクセス元 宛先リソース 適用したいポリシーの定義 送信元 = Empoloyee_SGT 宛先 =CreditCard_Server ポリシー = Deny IP 企業ネットワークの設定・管理・セキュリティ Cisco TrustSecによる設計・管理のシンプル化 After タグとポリシーを見てアクセス制御 オフィス データセンター タグ付 設計変更によるシンプル化 「1つのVLAN」「1つのSSID」 「1つのVLAN」 「1つのVLAN」も可能 会社支給 PC 会社支給 PC データセンターグループ ユーザグループB 無線LAN アクセスポイント Servers Si LANスイッチ Si TrustSecドメイン LANスイッチ (アクセス) (コア・ディストリビューション) BYOD PC Si Si ユーザグループA IT管理者 設計変更によるシンプル化 「1つのSSID」 Cisco ISE (IdentityServices Engine) ユーザグループ毎 マトリックス管理 DC DC A ✔ B ✔ C ✔ A ✔ N N B ✔ N ✔ C ✔ N ✔ - インターネット 参考情報 • PSU Week 2013 October [SEC-3]Identity Services Engine (ISE) / TrustSec の最新ユースケース と導入ポイント解説 http://www.cisco.com/web/JP/partners/training/literature/psuweek2013oct/psuweek2013oct_SEC-3.pptx BOM例:ISE 想定 エンドポイント管理数:1,000 有線、ワイヤレス、VPN エンドポイント 機能:AAA/RADIUS 認証、ゲスト ライフサイクル管理 、TrustSec対応 シングル構成 ISE Item Name SNS-3415-K9 SNS-UCS-TPM SW-3415-ISE-K9 ISE-SNS-ACCYKIT L-ISE-BSE-1K= Description Small Secure Network Server for ISE NAC & ACS Applications Trusted Platform Module for UCS servers Cisco ISE Software for the SNS-3415-K9 ISE SNS Accessory Kit Cisco Identity Services Engine 1000 EndPoint Base License ※ ※ 本体保守、電源ケーブル等細かいパーツのSKUは省略しております。 冗長構成の場合はアプライアンス本体の数量を2としてください。 Quantity 1 1 1 1 1 【参考】Cisco ISE ライセンス Base ライセンス Plus ライセンス Apex ライセンス • 認証/承認 • ゲストサービス • MACsec(MAC security: サポート 機能 • デバイスのオンボーディン • MDMの統合 グ/プロビジョニング • エンドポイントの検疫(注1) • デバイスのプロファイリン イーサネットの通信を暗号化 グ する技術) • フィード サービス • TrustSec • プライベートCA • Endpoint Protection Service (EPS) • Cisco pxGrid 有線/無線/VPN ライセンス 期間 無期限 1、3または5年よりご選択ください 必須 ご利用にはBaseライセンスが必要となります Mobility ライセンス (旧;Wirelessライセンス) • Base/Plus/Apexライセ ンスの全機能 無線/VPN 1、3または5年より ご選択ください (注1)AnyConnectを利用したリモートアクセスVPN端末へのCisco ISEを利用した検疫サービスを提供する場合には、Cisco ISEにApexライセンスがインストールされている必要があります。 その際、AnyConnectのライセンス種も「Apex」である必要があります。 (注2)旧来のライセンス(例:Adv、Wireless等)はEOS/EOLアナウンスがリリースされております。 http://www.cisco.com/c/en/us/products/collateral/security/identity-services-engine/eos-eol-notice-c51-730646.html 新登場:Cisco ISE Express この機会に是非 お試しください! Cisco ISEのエントリーモデル ATPによる購入制限なし お得な特別価格 内容: One (1) ISE VM に150 Endpointの ISE Base が同梱 (for Single Site Deployment (non-distributed, no HA)) 機能: Guest, RADIUS/AAA, Unlimited Custom Portals with ISE Portal Builder 日本価格表掲載時期: 6月-7月予定 型番:R-ISE-GST-BUN-K9= Squidの運用・管理 の負担増対策 お悩み例:Squidの運用・管理の負担増 お客様の抱える課題 •Squid※にURLフィルターやアンチ • ウィルスを導入して運用している。 それらの管理が負担になってき た。 •Linuxサーバ、Squid本体のメンテ • ナンス(パッチあて対応)が頻繁 に発生しており、それらへの対応 が重荷になってきた。 •ブラック/ホワイトリストの自前で の管理への限界。 Ciscoからのご提案 シ ス コ の Web セ キ ュ リ テ ィ 製 品 「Cisco WSA」はウェブのセキュリ ティ対策のために作られた製品で す。 Cisco WSAであれば、複数のサー バをたてることなく、これ1台でアン チ ウ ィ ル ス 、 URL フ ィ ル タ リ ン グ 等々ウェブセキュリティ対策に不 可欠な機能が搭載されています。 ※ フリーソフトのプロキシサーバソフト。詳細は http://www.squid-cache.org/ で確認いただけます。 本ソリューションを構成する製品+テクノロジー 対応製品 ウェブセキュリティ Cisco WSA Cisco WSA(Web Security Appliance) マルウェア感染対策 不正サイト・悪質サイト接続防御 L4トラフィックモニタ Webレピュテーションフィルタ WUC(URLフィルタ) Cisco WSA 外部攻撃の防御 マルウェア防御・ウィルス対策 DVSエンジン アンチマルウェア (Sophos、McAfee) 高度なアンチマルウェア(Cisco AMP) アンチスパイウェア(Webroot) マルウェアやフィッシングによる 情報漏洩から保護 内部統制/防御 情報漏えい対策 DLP ポリシーフィルタ アプリケーションの可視化と制 御(AVC) 新型マルウェアによる 情報漏洩から保護 Cisco WSAのセールスポイント 従来:一般的な構成 提案:Cisco WSAによる構成 インターネット インターネット DMZ DMZ コンテンツ フィルタ F/W アンチ・ウィルス製品 F/W Cisco WSA コンテンツフィルタ、ア ンチウィルス、プロキシ を 同一筐体で実現) Web プロキシ製品 ※仮想化基盤にも対応 LAN LAN WSA搭載機能①:カバレッジの広いマルウェア対策 マルウェアからマルチレイヤー防御 Webroot 複数エンジンでコンテンツ内容を 深く検査。 高速スキャニング 複数の解析エンジン 自動アップデートにより、ユー ザーのチューニングが不要。 Adware Spyware Webroot Trojans Cisco DVS™ エンジン McAfee or Sophos Policy Management Worms Sophos McAfee Viruses WSA搭載機能②:WEBレピュテーション・フィルター レピュテーションスコアを利用した柔軟なポリシー管理 ブロック (悪質なサイト) 詳細なスキャン (グレーサイト) 許可 (優良サイト) WSA搭載機能③:L4トラフィックモニター(モニタリング) 中から外の全トラフィックの可視化と不正通信の遮断 L7: Application L4 トラフィック モニタリング(L4TM)を使うと L4: TCP/UDP Port 0-65535 L3: IP Address L2: Promiscuous Mode L1: Ethernet Internet プロキシ(ポート80番)で処理されなかった通 信をモニターします。 ボットネットトラフィックの検知が可能です。 0番から65535番の全ポートを監視、マリシャ ス通信をブロックします。 Layer 3 を利用(IPアドレスのみ)して、その通 信が良いか悪いかを判断します。 コンテンツの中身ではなく、感染PCの接続先 のIPに基づいて判断を行います。 ASA X X Port 80 WSA PROXY L4 TRAFFIC MONITOR X X PhoneHome PhoneHome BOM例:WSA 想定 ユーザー数:1,000 機能:Cisco Security Intelligence Operations(SIO)からの脅威インテリジェンス 、レイヤ 4 トラフィック モニタリング 、ア プリケーションの可視性と制御(AVC) 、ポリシー管理 、実行可能なレポート 、URL フィルタリング シングル構成 ESA(ライセンス期間は1年) Item Name WSA-S380-K9 SF-WSA-7.7.0-K9 WSA-WSE-LIC= WSA-WSE-1Y-S4 Description WSA S380 Web Security Appliance with Software WSA Async OS v7.7.0 Web Essentials SW Bundle (WREP+WUC) Licenses Web Essentials SW Bundle (WREP+WUC) 1YR 1K-1999 Users ※ ※ 本体保守、電源ケーブル等細かいパーツのSKUは省略しております。 冗長構成の場合はアプライアンス本体の数量を2としてください。 Quantity 1 1 1000 1000 【参考】 BIG-IPとFirepowerアプ ライアンス(IPS専用機) の連携ソリューション 本ソリューションを構成する製品+テクノロジー 対応製品 ADC F5社 BIG-IP 次世代IPS Cisco FirePOWERアプライアンス 次世代IPS専用統合管理・解析サーバ Cisco FireSIGHT Management Center 連携ソリューション:BIG-IPとFirePOWERアプライアンス ① Cisco FirePOWERアプライアンス(NG-IPS)による攻撃の特定 ② 特定した情報をもとにCisco FirePOWERアプライアンスがブロックすべきIPアドレスをBIG-IPに 送付 2 ③ BIG-IPがFirePOWERアプライアンスからの情報をもとに攻撃者からの通信を遮断 参考ウェブサイト 【連載】今さら聞けない「ロードバランサの基本」 http://news.mynavi.jp/series/load_balancer/008/ 最後に John Chambers:「Internet of Everything はセキュリ ティにとってどのような意味を持つか」 http://gblogs.cisco.com/jp/2015/03/john-chambers-what-does-the-internet-of-everything-mean-for-security/