bigbig--ip ip aliti s itapplication security managertc ssl キ link 側 on tcp l l7 レー...

S itSecurity

BIGBIG--IP IP A li ti S itA li ti S it MMApplication SecurityApplication Security ManagerManager製品概要製品概要

F5ネットワークスジャパン株式会社

製品概要製品概要

アプリケーション・セキュリティアプリケーション・セキュリティ: : トレンドと推進要因トレンドと推進要因

■アプリケーションの「Web化」■アプリケションの「Web化」

■ターゲットを絞った攻撃

■コンプライアンスへの対応（PCIなど）■コンプライアンスへの対応（PCIなど）

■インテリジェントなブラウザおよびアプリケーション

■侵害行為やデータセキュリティに関する社会全体の認識の■侵害行為やデータセキュリティに関する社会全体の認識の高まり

■厳しい経済状況 = リソースの制約と予算削減による■厳しい経済状況リソスの制約と予算削減によるセキュリティリスクの拡大とコンプライアンスの低下リスク

2BIG-IP Application Security ManagerCopyright © 2009 All rights reserved F5 Networks Japan K.K.

ほとんど全てほとんど全てWebWebアプリケーションは脆弱アプリケーションは脆弱

■ 「Webサイトの97%が脆弱性のために不正侵入される■ Webサイトの97%が脆弱性のために不正侵入される危機に直面。脆弱性の69%はクライアント側の攻撃」- Web Application Security Consortium

http://www.webappsec.org/projects/statistics/

■ 「Webサイトの80%は攻撃に対して脆弱」- WhiteHat “security report ”

http://www whitehatsec com/home/assets/WPstats0808 pdfhttp://www.whitehatsec.com/home/assets/WPstats0808.pdf

■ 「不正侵入の75%はアプリケーションレベルで発生」- Gartner “Security at the Application Level”

■ 「開発者の64%はセキュアなアプリケーションを記述する自信がない」■ 「開発者の64%はセキュアなアプリケーションを記述する自信がない」- Microsoft Developer Research


脆弱性に起因する支出脆弱性に起因する支出

■ 平均的なカスタム・ビジネス・アプリケーションは15～25万行のコード。

-- Software Magazineg

■ 1000行のコード毎に平均して15の重大なセキュリティの欠陥が存在します。

-- U.S. Department of Defense

■ すなわち、ビジネス・アプリケーションには平均して2250のセキュリティホールが存在する

ことになります。

■ 平均的なセキリティホルは診断に75分修正に6時間を要します■ 平均的なセキュリティホールは診断に75分、修正に6時間を要します。

-- 5-year Pentagon Study

■ したがって、上述のケースでは診断に2800時間を要し、修正に13500時間を要することに

なります。

■ 世界全体におけるプログラマの平均単価は約4000円/時間

■ つまり、上述のケースでは診断コストが1120万円、修正コストが5400万円必要です。


利益を生まない作業が開発者に要求されている利益を生まない作業が開発者に要求されている……

アプリケーションアプリケーションセキュリティセキュリティはは??

アプリケーションのアプリケーションのパッチ作業パッチ作業

アプリケーションのアプリケーションの拡張性拡張性

アプリケーションのアプリケーションの開発開発拡張性拡張性開発開発

アプリケーションのアプリケーションのパフォーマンスパフォーマンス


パフォマンスパフォマンス

アプリケーションのセキュリティは誰の責任アプリケーションのセキュリティは誰の責任??

Web開発者?

ネットワーク・セキュリティ?

エンジニアリング・サービス?ンジアリングサビス?

DBA?


セキュリティチームの関心事セキュリティチームの関心事

下記の事を実現できるようにインフラストラクチャを高性能化する下記の事を実現できるようにインフラストラクチャを高性能化する方法を探る

– ビジネスを中断させずに最新の攻撃を阻止する

– 既知の脆弱性にすばやく対応する

開発チムを規制することなくW bサイトのセキリテ管理をする– 開発チームを規制することなくWebサイトのセキュリティ管理をする

– アプリケーションのセキュリティ保護と最適化の両方を行う

– 再構成なしにキャパシティを拡大する再構成ィを拡す

– アプリケーションで何が起こっているかを実際に確認する

最適化されたアプリケーション・セキュリティが必要だ！


必要だ！

従来型ソリューションの課題従来型ソリューションの課題

■HTTPアクセス自体は有効なリクエスト

■HTTPはステートレス、アプリケーションはステートフル

■Webアプリケションはユザ固有のもの■Webアプリケーションはユーザ固有のもの– ユーザ自身の個別Webアプリケーションに対するシグネチャはない

■優れた保護をするためにはレスポンスデタの精査も必要■優れた保護をするためにはレスポンスデータの精査も必要

■暗号化されたトラフィックによる攻撃への対応

■ユーザは、Webアプリケーションアタックを認識していない– HTTP攻撃に対しての検出/ログ/レポートツールが不足しているHTTP攻撃に対しての検出/ログ/レポトツルが不足している


従来型のスキャン従来型のスキャン//修正と監査修正と監査

■ スキャン/修正■ スキャン/修正– スキャナはすべての脆弱性は検出できない

– スキャナはコードのリバース・エンジニアリングを実行できない

– スキャナはビジネスロジックの脆弱性を検出できない

– 何か検出された場合には、即座にコードを変更する必要がある

– 事前対策型のソリューションではない

■ セキュリティコード監査– きわめて高額（小～中規模のアプリケーションで約250万円）

– 準備と開発チームの協力が必要

監査と修繰り返が必要– 監査と修正の繰り返しが必要

– それぞれの修正によって別のバグや脆弱性が現在のアプリケーションに追加される恐れがある

「防御できるのは認識された問題のみです。認識されていない問題を防御することはできません」


従来のセキュリティデバイスと従来のセキュリティデバイスとWAFWAFの比較の比較

ASMネットワーク・ファイアウォール

IPS

既知のWebワーム

未知のWebワーム

既知のWeb脆弱性

X限定的

限定的

限定的

一部

既知のWeb脆弱性

未知のWeb脆弱性

Webサーバファイルへの不正アクセス

強制的ブラウズ

X

X

限定的

限定的

一部

限定的

XX

強制的ラウ

ファイル/ディレクトリ列挙

バッファ・オーバフロー

クロスサイト・スクリプティング

XX

限定的

限定的

限定的

限定的

限定的

X

SQL/OSインジェクション

Cookieポイズニング

隠しフィールドの改ざん

XXX

限定的

限定的

XX

パラメータ改ざん

レイヤ7 DoS攻撃

ブルートフォース・ログイン攻撃

X XXX

XX


アプリケーション・セキュリティとアクセラレーション X X

BIGBIG--IPIP ASMASM : : 適応性の高い強力なソリューション適応性の高い強力なソリューション

■全てのWebアプリケーションの脆弱性に対する総合的な■全てのWebアプリケションの脆弱性に対する総合的な保護を提供

■難しい設定無しにセキュリティを提供

■すべてのアプリケーション・トラフィックのログとレポートを作成

■L3 L7の保護を提供■L3～L7の保護を提供

■セキュリティとアクセラレーションのサービスを統合

■従来のWAFでは認識されない攻撃を阻止■従来のWAFでは認識されない攻撃を阻止

■オンデマンドWAF拡張を提供

■アプリケーション・レベルのパフォーマンスを認識■アプリケーション・レベルのパフォーマンスを認識


BIGBIG--IPIP ASMASMのビジネス上の利点のビジネス上の利点

ビジネスの最適化

■運用トの削減■運用コストの削減– ハッカーおよび攻撃を阻止することにより、アプリケーションの

高可用性を保証

– セキュリティに関するコンプライアンス要件を満たすための経費を削減

■アプリケーション配信の合理化– 高度化されたセキュリティとアクセラレーション

■インフラストラクチャ・コストの削減統合とグロバル化– 統合とグローバル化

■革新的なアプリケーション・セキュリティ・ポリシーを最小限の設定で提供設定で提供

■アプリケーションの可視性とレポート

■優れた機敏性により変化し続ける脅威に対応


■優れた機敏性により、変化し続ける脅威に対応

ベストプラクティスベストプラクティス

■アプリケーションの状態を強化する■アプリケションの状態を強化する

■情報漏えいを目的としたレスポンスをチェックする

■明確で追跡可能なセキュリティポリシーを使用する■明確で追跡可能なセキュリティポリシを使用する

■監査用にHTTPメッセージのログを記録する

■ポジティブロジックとネガティブロジックの組み合わせを■ポジティブロジックとネガティブロジックの組み合わせを

使用する

■HTTPとHTTPSの両方を精査する■HTTPとHTTPSの両方を精査する

■段階的にセキュリティ強化を開始する


オールインワン・プラットフォームオールインワン・プラットフォーム

ル

マイクロカーネルグ

オフロード

圧縮クライ

アントサーバ側 A

Nプロファイル

P Ex

pres

s

ャッシング

TCPプロキシ

eCon

nect

Con

trol

ler

トシェーピング

SSL 側

側

TCP

LA

TCP

キャ

One

Link

L7レー

■TMOSの各種の多彩な機能による利点

フルリバスプロキシ iRules™- フル・リバースプロキシ - iRules™- 最速のSSLアクセラレータ - リモート認証/認可

デジタル証明書管理拡張ロギング- デジタル証明書管理 - 拡張ロギング

- FIPS準拠 - TCP/IP最適化

VLANセグメンテシン IP/ポトフルタリング


- VLANセグメンテーション - IP/ポート・フィルタリング

BIGBIG--IPIP ASM v10.0ASM v10.0の新機能の新機能

• レイヤ7 DoSおよびブルートフォース攻撃の防御

• Application Ready Solutionポリシー

• PeopleSoft Portal、Oracle Portal、SharePoint、Outlook Web Access、Domino Webメールサーバ

アプリケションの可視性とレポトアプリケションがどのようにアクセスされ• アプリケーションの可視性とレポート – アプリケーションがどのようにアクセスされ、動作するかを表示

• URI単位のサーバ遅延の監視 • 侵害重大度のロギングURI単位のサ遅延の監視

• パターンマッチングシグネチャ

• VIPRION上でのASM対応 – 高スループットのサービス用にオンデマンドで拡張可能な

• Syslogの大幅な強化

Webアプリケーション・ファイアウォールを提供

• 8900上でのASMスタンドアロン – 高コスト効果、高スループットのスタンドアロン・

プラットフォーム

び高速パ能• ASMおよびWA – 高速かつセキュアで、パフォーマンス低下なしに利用可能な

オールインワン

• 集中化された高度なレポート作成 – Splunkとの連携

デタベスのセキリティ S のD t W llとの連携


• データベースのセキュリティ – SecernoのDataWallとの連携

BIGBIG--IPASMIPASMプラットフォームの提供形態プラットフォームの提供形態

■BIG-IP LTMでのモジュールとして使用可能■BIG-IP LTMでのモジュルとして使用可能– 3600/6400/6800/6900– 8400/8800/8900– VIPRION

■TMOS上のスタンドアロンASM■TMOS上のスタンドアロンASM– 3600– 6900– 8900


きわめて拡張性の高いアプリケーション・セキュリティきわめて拡張性の高いアプリケーション・セキュリティ

提供価値提供価値オンデマンドの拡張性先進のセキュリティ統合されたセキュリティ・パフォマンス統合されたセキュリティ・パフォーマンスアプリケーションの詳細認識/可視性


セキュリティの向上： 2倍以上のパフォーマンス

理にかなったセキュリティポリシー理にかなったセキュリティポリシー

■自動または手動で生成■自動または手動で生成

■明確なビジュアル・ポリシーであり、分かりやすく管理が容易管理が容易

■リクエストとレスポンスの両方に適用

■Webサイトセキュリティ実施の中心

実施

コンテンツ・スクラビング


ンテンツスクラビングアプリケーション・クローキング

例例: : パラメータ改ざんパラメータ改ざん

URL（図を参照）内またはページのソースを表示することにより、サーバに送信された要求を変更します。


複数レベルのセキュリティレイヤ複数レベルのセキュリティレイヤ

■RFC実施■RFC実施

■さまざまなHTTP制限の実施

■良好なトラフィックのプロファイリング良– 許可されるファイルタイプ、URL、パラメータの定義リスト

■それぞれのパラメータを以下の項目に対して別々に評価事前定義された値– 事前に定義された値

– 長さ

– キャラクタセットキャラクタセット

– 攻撃パターン• パターンマッチするシグネチャの検索


レイヤレイヤ7 7 DoSDoSおよびブルートフォースおよびブルートフォース独自の攻撃検知と防御独自の攻撃検知と防御

■ 好ましくないクライアントは修正され、必要なクライアントにサービスが提供される

■ アプリケーションのアベイラビリティ向上

■ 自動制御が介在しながら価値向上にフォーカス


アプリケーションの可視化とレポートアプリケーションの可視化とレポートURIURIの監視によるサーバ遅延の確認の監視によるサーバ遅延の確認

■遅延の原因となるサーバコードのトラブルシューティング■遅延の原因となるサバコドのトラブルシュティング


誤検知のない導入誤検知のない導入

■Webアプリケーションの簡単実装■Webアプリケションの簡単実装– すばやい導入ポリシー

– 事前に定義されたアプリケーション・ポリシー

■学習モド■学習モード– 段階的な導入

– 透過的/半透過的/完全ブロック


完

レポートレポート


医療機関の例医療機関の例Sh P i tSh P i tによるアプリケシンセキリテが必要によるアプリケシンセキリテが必要SharePointSharePointによるアプリケーション・セキュリティが必要によるアプリケーション・セキュリティが必要

カンザスシティのデータセンター

リモートユーザ

ITスタッフ ITスタッフ ITスタッフ

医療スタッフ

Web Exchange ネットワーク

ハッカー

コロンバスの支所BIG-IP 8900

アベイラビリティおよびセキュリティ

問題医療スタッフ

Web

ITスタッフ ITスタッフ

Exchangeアベイラビリティおよびセキュリティ• Eメールなどを使用してFTPフォルダにテスト結果をアップロード

• Webアプリケーション・トラフィックのセキュリティが必要

• 現在のネットワーク・ファイアウォールは攻撃を検知できない

• Webアプリケーションのセキュリティ担当者が任命されていない BIG IP 6900


• Webアプリケションのセキュリティ担当者が任命されていない BIG-IP 6900

医療組織の例医療組織の例WebWebアプリケーションのセキュリティを迅速に実装アプリケーションのセキュリティを迅速に実装

カンザスシティのデータセンター


ITスタッフ ITスタッフ ITスタッフ

医療スタッフ

ITスタッフ

ポリシー: 攻撃の防御

Web Exchange ネットワークSharePoint事前定義されたポリシーによりSharePointを

数分で導入ハッカー

ポリシ : 攻撃の防御- L7 DoSおよびブルートフォース

コロンブスの支店

BIG-IP 8900 コスト効率の高いデータセンター・プラットフォーム

LTM/ASMアプリケーション層アプリケーション層

医療スタッフ

ITスタッフ ITスタッフ

を表示して、何が起こっているかを確認を表示して、何が起こっているかを確認

セキュリティとアベイラビリティを簡単に実現

ソリューション

Web Exchange

BIG-IP 6900アプリケーションの

セキリティとアイラビリティを簡単に実現• 好ましくないクライアントは制御される

• 必要なクライアントにサービスが供給される

• SharePointの迅速な導入

• 事前定義されたセキュリティポリシー


BIG-IP 6900

LTM/ASM可視性とレポート:

シグネチャ、侵害、URI

事前定義されたセキリティポリシ

• SharePointがどのようにアクセスされ、動作するかを表示

• コンプライアンスの範囲内で迅速な運用開始

ヨーロッパ地域の顧客ヨーロッパ地域の顧客WebWebサイトサイト

ケープタウンのデータセンタケープタウンのデータセンター

ITスタッフ

ユーザ

攻撃者Linux ネットワークWeb

ADC

問題

攻撃を認識しておらず防御もできない

エンドユーザのパフォーマンスが低下している

現在のネットワーク・ファイアウォールは攻撃を確認できない

アクセラレーションとセキュリティの独立したソリューションは管理が困難


アクセラレションとセキリティの独立したソリションは管理が困難

ヨーロッパ地域の顧客にヨーロッパ地域の顧客にASMASMおよびおよびWAWAを導入を導入: : 「攻撃されていたことすら知りませんでした」「攻撃されていたことすら知りませんでした」

ケープタウンのデータセンター

ITスタッフ

攻撃を認識

Linux ネットワークWeb

ユーザ

攻撃者

BIG-IP 6900

ASMWALTM

プラットフォームでのアベイラビリティ、


セキュリティ、アクセラレーション

アプリケーション・デリバリの統合

• ユーザパフォーマンスが10倍向上

• 帯域幅が50%削減

• 攻撃および脅威の防御（SQLインジェクション、シグネチャ）


• 攻撃の可視性

• 大規模な攻撃中はリソースをASMに提供

フォーチュンフォーチュン 500500掲載企業掲載企業WebWebアプリケーションの脆弱性アプリケーションの脆弱性


チューリッヒのデータセンターニューヨークのデータセンター

ITスタITスタフ

Web

ITスタッフ

Domino ネットワーク

ITスタッフ

ハッカー

エグゼクティブ

Web Domino

ADCADC

ネットワーク

問題

銀行業務のWebサービスが重要であるにもかかわらず….ブルートフォース・ログイン攻撃によりWebサイトが妨害されている

レイヤ7 DoS攻撃により情報にアクセスできない

問題


攻撃によりWebサーバが過負荷状態のため応答速度が低下している

攻撃元を確認できない、またはリクエストを低速化できない

フォーチュンフォーチュン 500500掲載企業掲載企業攻撃からのアプリケーションの保護攻撃からのアプリケーションの保護

リモートユーザ正しいユザがアクセスを

チューリッヒのデータセンターと支店ニューヨークのデータセンター

タ

正しいユーザがアクセスを獲得し、ハッカーはブロックされる

Web

ITスタッフ

Domino ネットワーク

ITスタッフ

ハッカーIPアドレスは自動的に特定され、絞り込まれる

ダウンタイムを回避

Web Domino ネットワーク

BIG-IP 8900BIG-IP 6900

ポリシー: 攻撃の防御 –ブルートフォースおよびL7 D S

検知と3つの防御手法に

ASM ASMおよびL7 DoS 基づいて攻撃を特定


好ましくないクライアントは修正され、必要なクライアントにサービスが提供される

アプリケーションのアベイラビリティ向上

自動制御が介在ながら価値向カ

ソリュション


自動制御が介在しながら価値の向上にフォーカス

企業でのセキュリティ規格のコンプライアンス達成を支援

大規模な電子商取引大規模な電子商取引拡張性と可視性の問題拡張性と可視性の問題

シドニーのデータセンターリモートユーザ

ITスタッフ

香港のデータセンター

ITスタッフ

Web Linuxハッカー

ADC

ネットワーク

ADC

Web Linux ネットワーク

問題

ADC

アプリケーション・トラフィックが可視化

Webアプリケーションのセキュリティが必要

拡張性の問題によりアプリケーション・ファイアウォールを導入できない

問題


WAFとADCを別々に管理するのは困難

アプリケーション・セキュリティ・プラットフォームのコスト

大規模な電子商取引大規模な電子商取引データセンターのアプリケーション保護データセンターのアプリケーション保護

シドニーのデータセンターリモートユーザ

アプリケーションセキュリティ

香港のデータセンター

ITスタッフ

ITスタッフアプリケションセキュリティ

の可視性とレポート

Web Linux ネットワークWeb Linux

ハッカーVIPRION

ネットワーク攻撃元を表示し、IPアドレスをブロック

LTM/ASM

容易に拡張可能なワールドクラスのデータセンター・

プラットフォーム

管理が容易なプラットフォームで統合を実現

BIG-IP 8900


LTM/ASM プラットフォムで統合を実現

ワールドクラスのデータセンター・プラットフォーム

複数サーバの拡張性の問題を軽減

管理が容易な単一ユニット

ソリュション


攻撃元を確認し、サーバへのリクエストを低速化

アプリケーション・セキュリティの可視性とレポート

F5F5社と社と SplunkSplunk社の連携社の連携pp

■F5 は Splunk 社と協力して、■F5 は Splunk 社と協力して、Splunkコアアプリケーションへの

アドオン「アプリケーション」としてインストール可能なASMレてインストル可能なASMレポーティング&分析テンプレートの開発を行ってきました。

F5とSplunk社のセキュリティ・エ

キスパート達は、詳細な情報を求めるASM 上級ザ求めるASMの上級ユーザのニーズに特化したASMプラグインを設計しました。


まとめまとめ

■L7攻撃はハッカーの常套手段■L7攻撃はハッカの常套手段

■Webアプリケーションの保護は多くの企業の課題

■ASMはWebアプリケーションを保護し簡単な構成オプ■ASMはWebアプリケションを保護し、簡単な構成オプションを提供

■ASMは各種のコンプライアンス準拠を提供■ASMは各種のコンプライアンス準拠を提供

■ASMはアプリケーションの詳細な可視性とレポートを提供

■ASMおよびWAの統合を実現しアプリケーションの■ASMおよびWAの統合を実現し、アプリケションの

セキュリティ保護とアクセラレーションを提供


THANK YOUお問い合わせ：F5 First Contact

ありがとうございました

【お問い合わせ先】お問い合わせ：F5 First Contactwww.f5networks.co.jp/fc/

【お問い合わせ先】03-5114-3210

www.f5networks.co.jp/fc/

END

END

bigbig--ip ip aliti s itapplication security managertc ssl キ link 側 on tcp l l7 レー...

Documents