複雑化するネットワークとセキュリティをシンプルに-クラウド時代の新しいソリューション「SASE」-
2020年3月13日パロアルトネットワークス株式会社
モバイル支社/拠点
企業のネットワーク構成はより複雑に
2 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
本社
複雑な構成ユーザーの利便性
セキュリティギャップ
リモートアクセスVPN
安全ではない通信
データセンター
パブリッククラウド インターネット SaaS
MPLS/専用線
WEBプロキシ
CASBプロキシ
サイト間VPN
サイト間VPN
1 2 3
FWFW
プロキシ
Gartnerが新たなMQカテゴリー「SASE」を発表
3 | © 2019 Palo Alto Networks. All Rights Reserved.
The Future of Network Security
Is in the Cloud, Gartner 2019
● Defines the Secure Access Service Edge category
● Outlines the benefits, risks, recommendations
● Provides a competitive overview
● Download the report here:https://www.gartner.com/doc/reprints?id=1-1XO7YYCN&ct=191022&st=sb
Read this report!
サッシー
Secure Access Service Edge(SASE)とは
4 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
SECURE ACCESS SERVICE EDGE
SASE
SECURITYAS A SERVICE
NETWORKAS A SERVICE
SSL 復号CASB Cloud SWG ZTNA
FWaaS DNS DLPサンドボックス
SD-WAN
QoS
ポリシーベース転送
Network as a Service
IPSec VPN
SSL VPN
ネットワークとセキュリティの機能を統合し、クラウドサービスとして提供
Secure Access Service Edge(SASE)とは
5 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
SECURITY as a Service Layer
NETWORK as a Service Layer
SaaSパブリッククラウド
インターネット本社/データセンター
支社/拠点
モバイル
SECURE ACCESS SERVICE EDGE
SASE
場所やアクセス先に関係なく、必要なサービスを提供しポリシーを施行
Prisma Access: 最も包括的なSASEソリューション
6 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
SaaSパブリッククラウド
インターネット本社/データセンター
支社/拠点
モバイル
SECURITY as a Service Layer
SSL Decryption CASB Cloud SWG ZTNA
DNSFWaaS
DLPSandboxing
NETWORK as a Service Layer
SD-WAN IPSec VPN Policy Based Forwarding
Network as a ServiceSSL VPNQoS
Prisma Access
Prisma Accessのアーキテクチャ
7 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
VPNVPN VPN VPN
アプリケーションFW
AV、IPS、URLフィルタリングサンドボックス、DLP
DNSセキュリティ、SSL復号、etc.
小規模拠点海外拠点工場、店舗
テレワーク出張者
Panoramaによる一元管理
● 設定の一元管理
● ログの可視化
● 拠点からの接続
○ 本社/拠点間のセキュリティをクラウド上で管理○ ユーザーは機器のメンテナンス不要○ 各拠点にはVPN装置を設置○ 利用帯域による課金体系
● モバイルユーザからの接続
○ モバイル端末がクラウドに自動的に接続することで社内ネットワークと同じセキュリティを提供
○ ユーザーは機器のメンテナンス不要○ モバイル端末にエージェントをインストール○ 利用ユーザ数による課金体系
次世代FWと同等のセキュリティ機能
Prisma Accessと次世代FWのハイブリッド構成
8 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
Panoramaによる一元管理
● 設定の一元管理
● ログの可視化
VPNVPN
VPNVPN
本社、DC
大規模拠点
次世代FW
小規模拠点海外拠点工場、店舗
テレワーク出張者● 大規模拠点からの接続
○ 既存の次世代FWを活用○ インターネットへのアクセスは直接接続○ 他拠点やモバイルユーザとはPrisma Accessを介して接続○ 次世代FWとPrisma Accessで一貫したセキュリティ○ Panoramaにより次世代FWとPrisma Accessをまとめて一元管理
Prisma Accessと非クラウドFWとの違い
9 | © 2019, Palo Alto Networks. All Rights Reserved.
セキュリティ関連機能Prisma Access
クラウドサービスPAシリーズ
ファイアウォール
アプリケーション可視化・アクセス制御機能 (App-ID) ○ ○
ユーザ識別・アクセス制御機能 (User-ID) ○ ○
URLフィルタ機能 ○ ○
アンチウイルス機能 ○ ○
アンチスパイウェア機能 ○ ○
IPS機能 ○ ○
ゼロデイマルウェア対策機能(WildFire) ○ ○
SSL復号化検査機能 ○ ○
中核となるセキュリティ機能や管理方法はすべて同一
Panorama(集中管理製品)により、 Prisma AccessとオンプレミスのPAファイアウォールの一元管理が可能なため、シンプルで一貫性のあるセキュリティ管理を実現
Prisma
Access
Prisma Accessの特長
場所・種類を限定しない
優れた接続性
10 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
類稀なセキュリティ機能 システム間連系と
データの有効活用
● 世界100以上のロケーションで同一セキュリティポリシーを提供
● 拠点間を結ぶ高品質高速回線● IoTを含むあらゆるホストの接続をサポートする非Proxy通信環境*1
● SD-WAN連携● お客様固有の固定IPによる、アクセス先システムでの容易なホワイトリスト対応
● 世界最大の脅威インテリジェンスクラウドWildFireと連携
● アンチウィルス、クラウドベースのDNSセキュリティ/URLフィルタ、フィッシング対策などSASEで求められるセキュリティを高次元で提供
統合管理製品Panoramaによる、オンプレミスやパブリッククラウド上の次世代ファイアウォールとの統合管理
クラウドベースのログ保管・解析エンジンCortexによるエンドポイントとの連携、ログの相関分析、NTA、UBAの実現
*1 for Networksのみ。for Usersはエージェントが必要
Prisma Access を活用したインターネットブレイクアウト
11 | © 2017, Palo Alto Networks. Confidential and Proprietary.
専用線(MPLS)/VPNNGFW
本社/データセンター 拠点 拠点 拠点
✔通信の一極集中による帯域の圧迫とNGFW含む既設機器への負荷増大
✔通信速度の低下や遅延によるユーザー利便性の低下
✔専用線/VPNサービスのコスト負担
インターネット
NGFW
本社/データセンター 拠点 拠点 拠点
Prisma
Access
IPsec
インターネット
● 拠点の通信を分離、Prisma Accessを介して安全にインターネットアクセス
● 速度低下・遅延の解消によるユーザー利便性の向上
● 専用線/VPNサービスのコスト節約
Prisma Access による海外拠点アプライアンス機器の撤廃
12 | © 2017, Palo Alto Networks. Confidential and Proprietary.
NGFW
本社/データセンター 拠点 拠点 拠点
✔拠点ごとのアプライアンス機器設置、運用保守、更改などの維持負荷
✔異なる機器間での一貫性のあるポリシー適用が困難
インターネット
本社/データセンター 拠点 拠点 拠点
● 拠点のアプライアンス撤廃による機器運用維持負荷からの解放
● クラウドサービスによるOS更新の自動化
● 異なる拠点間で一貫性のあるポリシー適用
● 拠点増加への柔軟な拡張対応
NGFW
Prisma
Access
IPsec
インターネット
13 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
Prisma Accessによってローケーションの影響を改善
NGFW
日本本社/データセンター
海外モバイル
許可されたSaaS
✔誰がどのクラウドサービスを利用しているかの把握・統制が困難
✔海外から日本国内へ一旦接続してからSaaSを利用することによるレスポンス悪化
NGFW
日本本社/データセンター
海外モバイル
許可されたSaaS
Prisma
Access
● 世界中に配備されているクラウドFWから、最も近いリージョンに自動接続
● インターネット/イントラネットへのアクセス制御と脅威防御を実施
オリパラ期間や災害時の大規模テレワーク実現
14 | © 2017, Palo Alto Networks. Confidential and Proprietary.
フリーWifi/野良Wifiのリスク
自分の端末 同じWifiを利用している他者の端末
傍受/情報窃取
遠隔操作
悪意のある第三者
横感染
インターネットからの感染
Wifiアクセスポイント
インターネット
Prisma Accessによるセキュアな通信の確立
自分の端末 同じWifiを利用している他者の端末
悪意のある第三者
SSL/IPsec VPNでの通信の
暗号化/トンネリングにより
傍受・乗っ取りから防御
脅威インテリジェンスに
より、既知/未知を含む
あらゆる脅威を防御
ローカルサブネットとの
通信を遮断、横展開での
感染を予防
ユーザーは意識する
ことなく、自動的に
セキュアな通信を利用
インターネット
Prisma Access
15 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
プロキシ/セキュアWebゲートウェイからの移行
✔Web以外の通信の可視化、制御は非対応✔高パフォーマンスが求められる
SaaSアプリケーションでは非推奨✔PACファイルの運用、管理負荷
インターネット
モバイルユーザ
拠点
Web
検査されていない非ウェブ
検査されていない非ウェブ
● Webを含む全ての通信を可視化、制御● 高パフォーマンス、
SaaSへのレイテンシをカバーするSLA
● PACファイル不要
サイト間IPsecを介した全ての通信
モバイルユーザ
拠点
インターネット
Ipsec VPNを介した全ての通信
Prisma Accessによって提供されるSD-WAN
Prisma™ Access
ベネフィット
業界をリードする一貫したセキュリティ一貫したポリシー適用
エンドツーエンドかつ高パフォーマンス
シンプルな利用方法
16 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
NGFW
SD-WANハブとして動作
SD-WANエッジデバイスとして動作パスメトリック、パス選択、動的パス変更、etc.
SaaS 利用に潜む様々なリスク
SaaS 個人メール
✔メール転送設定で個人メールへ転送
SaaS
✔短期間でのファイルの大量ダウンロード
✔機密情報が含まれるファイルなどを外部共有
✔フォルダにマルウェアファイルを保存・拡散
SaaS
17 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
18 | © 2019 Palo Alto Networks. All Rights Reserved.
SaaSセキュリティの包括的なアプローチ(CASB)
リモートユーザー
支社・拠点
本社
許可
条件付き許可
禁止
SaaSに対する通信の可視化と、段階的なアクセス制御、脅威防御
API
情報漏えい対策 マルウェア対策
コンテキストによるデータ公開の制御
機械学習によるファイルの分類
マルウェアの検出&除去
コンテンツ検査アナリティクス
複数のSaaS横断で、利用状況やリスクを可視化・モニタリングし、データを保護
PrismaSaaS
PrismaAccess
C&C
App-ID
Threat URL
WildFire
Prisma SaaSがサポートするアプリケーション
Citrix Sharefile
Gmail
Dropbox
最新のリストは以下に記載https://docs.paloaltonetworks.com/prisma/prisma-saas/prisma-saas-admin/secure-cloud-apps/supported-saas-applications
19 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
20 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
コンテンツ公開範囲毎に分類
External
Internal
Public
Company
社外の1人以上と共有
所有者が未共有、社内の特定ユーザーと共有
パブリックリンクなど誰でもアクセス可能な状態
社内で誰でもアクセス可能な状態
各種ファイル、ユーザー、アクティビティ、ドメインなど一覧表示
21 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
ファイルの詳細を確認
22 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
基本情報
23 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
公開状態の確認
24 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
WildFireレポートの確認
25 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
26 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
ファイルのアクティビティや保存場所の確認
該当ファイルのロケーション表示
ファイルへのアクセス履歴表示として、参照・アップロード・ダウンロード、アクセスユーザーなどを記録。
27 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
データパターンに一致した内容の確認
あらかじめ、ポリシーで設定したデータパターンに該当した情報を検知し表示データパターンは、正規表現での記述や、特定の文字列の有無など様々な形で判定が可能です。
GDPRレポートの出力
28 | © 2018, Palo Alto Networks. All Rights Reserved.
GDPRのレギュレーションに沿ったレポート出力し、SaaS毎に該当ファイルの確認することも可能です。
SaaS Visibility
SaaSの評価
・認定の有無
(SOC1,2,PCIなど)
・データ漏洩履歴
・サービス継続性
(財務の健全性)
・利用規約の不備
・IP制限の有無
Prisma SaaS が DataLake に接続して、蓄積された Prisma Access やPA シリーズのログから SaaS に特化したレポートを表示
29 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
SASEまとめ
30 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.
ブレイクアウトやSD-WAN、リモートアクセスVPNなど、個別の要件に対してご検討される場合でも、是非SASEの考え方を踏まえて検討して頂くことをお勧めします
複雑で運用負荷の高い個別のソリューションから脱却し、SASEソリューションをご検討下さい
SASEの運用費用
SASEの初期費用
SD-WAN
初期費用
SD-WAN
運用費用
プロキシ初期費用
プロキシ運用費用
FW
初期費用
FW
運用費用
CASB
初期費用
CASB
運用費用
RAS
初期費用
RAS
運用費用
専用線初期費用
専用線運用費用
THANK YOU