Download presentation
1
安心・安全・スピーディにクラウド セキュリティを展開する “ Cisco Umbrella “
働き方改革を成功に導くIT基盤セミナー 安心・安全・スピーディにクラウド セキュリティを展開する “ Cisco Umbrella “ シスコシステムズ合同会社 セキュリティ事業 サイバーセキュリティ 製品担当営業 福留康修
2
アジェンダ オフィス ワークとリモートワークをとりまくセキュリティ課題と解決手法
シスコ セキュアインターネット ゲートウェイ (SIG) ご紹介 デモ
3
従来のトポロジー ネットワーク: 集中型 セキュリティ: ポリシー適用と防御を 一箇所でまとめて実施 インターネット ブランチ 本社
ネットワーク: 集中型 インターネット セキュリティ: ポリシー適用と防御を 一箇所でまとめて実施 MPLS VPN ブランチ 本社 ローミング/ モバイル
4
ITランドスケープの変化 ユーザ、デバイス、アプリケーションはどこにでも
リモートユーザ, 請負業者, サードパーティベンダー クラウド アプリケーション 発展していく境界 ハイブリッド インフラストラクチャ 個人所有 & モバイルデバイス 皆さんお感じになっていると思いますが、IT環境は近年も変化が激しいです。 - 組織には、請負業者、サードパーティベンダー、および社外から社内ネットワークに接続しているリモートワーカーなど、さまざまな種類のユーザーがいます。 - スマートフォン、iPhone、タブレットなど、ますます自分のデバイスでアプリケーションやネットワークへ接続するようになっています。 - モノのインターネット(IoT)として知られるスマートデバイスもネットワークにアクセスします。 - 一方、アプリケーション、サーバ、コンテナ、その他のワークロードは、クラウドインフラストラクチャ(AWSやAzureなど)とデータセンターと両方に配置されているマルチクラウドが一般的になっています クラウド インフラストラクチャ IoT 機器
5
オフィス ワークとリモート ワークにおける課題 #1 パフォーマンス
遅い (インターネット回線逼迫) インターネット 遅い (Proxy / Firewall の過負荷) 遅い (WAN 回線逼迫) MPLS VPN ブランチ 本社 ローミング/ モバイル
6
パフォーマンス問題(#1)を解決するアイデア
ネットワーク: 分散型 インターネット / SaaS セキュリティ: データセンタ、クラウド、ブランチの出口で防御 組織の4/5がDIAへ移行、76%は全体または部分的にSD-WANを利用。 SD WAN DIA ブランチ 本社 ローミング/ モバイル
7
パフォーマンス問題(#1)の解決で悪化する セキュリティの課題(#2)
可視性とカバレッジのギャップ クラウドアプリ とシャドーIT 複雑なセキュリティ管理 マルウェア ランサムウェア
8
42% 68% ブランチ オフィスは脆弱な状態 セキュリティの展開に一ヶ月以上かかるブランチの割合
最近の脅威により感染したユーザがブランチまたはローミングユーザであった割合 Source: ESG Research Survey, Cisco Secure Internet Gateway Survey, January 2019
9
セキュリティの課題(#2)を解決するアイデア クラウド型フル プロキシ
Internet / SaaS DIA SD WAN ブランチ 本社 ローミング/モバイル 既存セキュリティを向上 オフ ネットワークをカバー
10
セキュリティの課題(#2)の解決で悪化する パフォーマンス問題(#1)
セキュリティの課題(#2)の解決で悪化する パフォーマンス問題(#1) Internet / SaaS クラウド型 フル プロキシ サイトの認証に失敗する 遅い ビデオが止まる、会議が勝手に終了してしまう 疑いのある 通信(先) URL ブラックリスト 特殊 Web Web 会議 SaaS 注) 特殊 Web とは、ソース IP アドレスでライセンス認証を行うサイトを(本スライドでは)表しています。
11
80% 1,220 33% The shadow IT の課題(#3) のユーザは IT で確認されていないソフトウェアを利用*
のクラウド サービスが大企業で平均的に使われている* 33% のエンタープライズ向け攻撃が2020年にはシャドー IT 経由になる** *Cisco Cloudlock CyberLab ** Gartner’s Top 10 Security Predictions (ref)
12
オフィス ワークとリモート ワークにおける課題 まとめ
#1 パフォーマンス問題 #2 セキュリティ問題 #3 シャドー IT 問題
13
オフィス ワークとリモート ワークにおける課題解決策
Firewall Web ゲートウェイ DNS セキュリティ DLP セキュア インターネット ゲートウェイ ファイアウォール 機能の組み合わせを選べるセキュア インターネット ゲートウェイで解決
14
シスコ セキュア インターネット ゲートウェイ Umbrella ご紹介&デモ
15
Cisco Umbrella クラウド提供型ファイアウォール セキュア web SaaS 利用制御 (CASB) ゲートウェイ
脅威情報連携 DNS レイヤ セキュリティ Cisco Umbrella SD-WAN オン/オフ ネットワーク デバイス
16
Cisco Umbrella セキュア インターネット ゲートウェイ インターネットへの入口を全てセキュアに 可視性 防御 制御
オン/オフ ネットワーク 全てのインターネットおよび Web トラフィック 全てのアプリケーション 全てのデバイス DNS レイヤ セキュリティ Web インスペクション ファイル インスペクション 脅威インテリジェンスへの アクセス URL ブロック/許可リスト ポート/プロトコル ルール コンテンツ フィルタリング アプリケーション制御 Cisco Talos 脅威インテリジェンス
17
DNS レイヤ セキュリティ 第一線での防御 わずか数分で適用
初期の段階で脅威をブロックしながら、侵入したマ ルウェアについては活動を阻止 驚くべきユーザ エクスペリエンス — 高速なイン ターネットアクセスと、リスクのあるサイトへのプロ キシ経由アクセス Safe request Blocked request SD-WAN オン/オフ ネットワーク デバイス
18
統計モデリング 1750億リクエスト/日 9,000万のアクティブ ユーザ、 16,000のエンタープライズ カスタマ 160カ国以上
2M+ live events per second 11B+ historical events 1750億リクエスト/日 9,000万のアクティブ ユーザ、 16,000のエンタープライズ カスタマ 160カ国以上 統計判断 同時発生モデル セキュア ランク モデル マルバタイジング アソシエーション判断 IP スペースに基づく予測 パッシブ DNS と WHOIS 関連性 パターン判断 スパイク ランク モデル ナチュラル言語処理ランク モデル ライブ DGA 予測 ピュニコード
19
セキュア ウェブ ゲートウェイ: フル プロキシ
ウェブ トラフィックに対するディープ インスペクションと制御 全てのウェブ トラフィックをキャプチャ し、URL ロギングとブロッキング コンテンツ フィルタおよび URL ブロッ クにより利用許諾にもとづく制御 SSL 復号によりさらに多くのマルウェ アをブロック 追加機能においては開発を行いなが ら段階的に実装 アプリケーション 可視化と制御 URL ログと ブロック x ファイル インスペクションとブロック フル プロキシ コンテンツ 制御
20
クラウド提供型ファイアウォール 全てのトラフィックを Umbrella にトンネ リング
Internet/SaaS 非ウェブ / 例外トラフィック 全てのトラフィックを Umbrella にトンネ リング IP アドレス、ポート、プロトコルにもとづ くルール設定 (L3/L4) お客様のアドレスを匿名化してインター ネットへのアクセスを提供(ソース アドレ スにもとづく格付けの影響を低減) 80/443 CDFW SWG Umbrella トンネル (IPSEC) DEVICES ON NETWORK
21
各機能の連携 応答性とパフォーマンスを改善 DNS レイヤ セキュリティ : マルウェ アに関連したドメインをチェック
Internet/SaaS 応答性とパフォーマンスを改善 DNS レイヤ セキュリティ : マルウェ アに関連したドメインをチェック クラウド提供型ファイアウォール (CDFW): 次に、 IP、ポート、プロト コル ルールをチェック セキュア ウェブ ゲートウェイ (SWG) : 最後に全てのウェブ トラ フィックをしてマルウェアやポリシー 違反をチェック NAT Port 21 80/443 DNS CDFW SWG Umbrella DNS, CDFW, and SWG ブロック SD-WAN DEVICES ON NETWORK
22
Cisco SD-WAN 連携 シンプルかつ SD-WAN 通信に対する効果的な防御 DNS レイヤ セキュリティをクイックに 展開
新機能:クラウド提供型ファイア ウォー ル (CDFW) およびフル プロキシ (SWG) による深いレベルの検査と制 御 今後増える SaaS および ウェブトラ フィックに対する容易な拡張性 DNS CDFW SWG Umbrella DIA MPLS Data Center Branch SD-WAN ファブリック
23
選べるプロキシ フル プロキシと セレクティブ プロキシ
DNSレイヤの展開の容易性を 維持しながら保護を強化する 目的 標準の完全なWebトラフィック プロキシ機能(可視性、制御、 脅威)を提供し完全なSIGを実現 VS 選択したWebトラフィックを 詳細に検査 (「グレー」ドメインのみ) すべてのWebトラフィックを 詳細に検査し、きめ細かい制御とレポート作成を可能にします VS 機能
24
フル プロキシと セレクティブ プロキシの違い
Internet / SaaS セレクティブ プロキシ プロキシ 疑いのある 通信(先) URL ブラックリスト 特殊 Web Web 会議 疑いのある 通信(先) URL ブラックリスト 特殊 Web Web 会議 SaaS SaaS セレクティブ プロキシ フル プロキシ
25
フル プロキシと セレクティブ プロキシの違い まとめ
セレクティブ プロキシのメリット フル プロキシのメリット クラウド利用パフォーマンス IOT 機器に対するセキュリティ SaaS との相性 既存グローバル IP アドレス活用 コラボレーション ツールとの相性 フル URL ログ 全ウェブ コンテンツのチェック (AV, Sandbox 等) 全ての通信ログ SaaS テナント制御 Data Loss Prevention (DLP) パフォーマンスに関するユーザの不満を解放するのはセレクティブ プロキシ
26
主要な IXP とのコローケーションにより低遅延
100% 2006年開始以降のアップタイム
27
Cisco Threat Response Talos および多製品と連携し脅威ハンティングと封じ込めを行えるツール
1 インテリジェンスのソース 調査 (検索インターフェース) 2 ケースブックの作成 (ブラウザのプラグイン有) インシデント マネー ジャ 3 信頼度の高いイベント 封じ込め 確認 検知(監視): File hash IP address Domain URL More... 内在するのか? どこに? どのエンドポイントが domain/URL にアクセスしているか? 内在しているものは怪しいまたは不正? AMP for Endpoints Umbrella Security NGFW/ NGIPS Cisco Talos Threat Grid Virus Total
28
ケーススタディ ユーザー数:900人以上 目的:Conexus Credit Unionでは、従来のオンプレミスWebプロキシから移行するにあたり、レイテンシ、リソース要件、またはハードウェアを追加することなく、ネットワークの内外を移動する多数のエンドポイントをより適切に管理および保護することを望んでいました。 解決策: Cisco Umbrella Cisco Umbrella Investigate 効果: 修復時間を80%短縮 調査時間を50%短縮 オンネットワーク エンドポイントとオフネットワーク エンドポイントの保護を強化 パフォーマンスの問題を伴わないシームレスな導入 「従来のプロキシはレイテンシが増え、クラウドベース プロキシは停止の影響を受けます。DNS ベースである Umbrella のインテリジェント プロキシは、約束どおり、 すべてユーザーに 遅延なし、停止なし、影響なしでした。」 Francois Lachance、BSc、CISSP 情報・サイバーセキュリティ担当課長 Conexus Credit Union カナダで6番目に大きい信用組合 DNSベース セキュリティ事例、フルプロキシ事例の最大規模は、いずれも10万ユーザ以上
29
シスコのセキュアインターネット ゲートウェイ (SIG) 各機能を組み合わせることが可能で、安心・安全・スピーディにご利用頂けます
まとめ 社内外すべてのユーザを守るには適用漏れがない脅威対策が必要 クラウドでまとめる際のパフォーマンス問題に注意が必要(業務系 SaaS では特に 重要) 進化する DNS の脅威に対する機能強化も必要 DNS セキュリティ、プロキシ、ファイアウォール、サンドボックス、CASB など機能 の組み合わせが最適なユーザは多い トライアルも受付中 簡単に効果を実感頂けます! シスコのセキュアインターネット ゲートウェイ (SIG) 各機能を組み合わせることが可能で、安心・安全・スピーディにご利用頂けます
