クラウド と 仮想環境の可視化ソリューションDarktraceで仮想環境の脅威を検知

データシート

可視性と仮想化環境敏捷性と効率性を高めるための最新技術の活用は益々進んでおり、データセンターへの仮想サーバや仮想化テクニックが導入されています。ほとんど制限のない柔軟性、より少ないリソースでの拡張性、そして物理サーバの台数削減などが従来のネットワークから分散型のSDN（Software-Defined Networking）への移行を後押ししている利点としてあげられます。しかしながら、仮想化革命にも欠点がないわけではありません。

従来の物理的ネットワークでは、トラフィックは物理的なワイヤそのものの上で簡単に「見る」ことができましたが、同じハイパーバイザー上にある仮想化マシン（VM）間のトラフィックのモニタリングは困難です。これは、VM間のトラフィックは物理スイッチではなく仮想スイッチ上でローカルにスイッチされ、観測が可能なネットワーク ワイヤ上には転送されないためです。これはセキュリティにとって大きな課題です。ホスト サーバに出入りする情報のフローはモニタリングできるがその中のトラフィックは見えないというブラインド スポットが生まれます。仮想化が進む傾向にある中、これらのブラインド スポットの数は増す一方です。

これらのブラインド スポットは特に高頻度あるいは厳密に制御された環境において運用上の大きな問題となります。今日、多くの組織は VM間で転送されるパケットを含めすべてのデータに対する全体的な可視性を必要としています。これはサイバー脅威の早期兆候をリアルタイムにピンポイントで特定する能力を強化し運用上のリスクを低減するためです。

仮想環境から物理ネットワークに転送される仮想トラフィックに対してはネットワーク タップ ソリューションを使ってミラーおよびアクセスが可能ですが、これらは仮想化マシン（VM）間を流れるすべてのトラフィックを把握することはできません。たとえば、アプリケーションが物理環境と仮想環境の両方に分散しており、データベース層は物理サーバに存在し、Web およびアプリケーション層は仮想化されている、という場合があります。このケースでは、2つの VM間のネットワーク トラフィックは物理ネットワークをトラバースしない可能性があります。TAP や物理スイッチの SPANポートを通ることもありません。

課題はVM間トラフィックに可視性をもたらしながら、サーバのパフォーマンスに影響を与えず、スケーラビリティを確保したソリューションを提供することです。

物理サーバ

仮想マシン

仮想マシン 仮想マシン

エンタープライズネットワーク

マスター アプライアンス

仮想スイッチ

モデル化される可視トラフィック

モデル化されないトラフィック

図 1： 　 vSensorを使用しない標準的なDarktrace Enterprise Immune Systemの構成

概要Darktrace vSensorおよびOS-Sensorは、Enterprise Immune Systemの自己学習型リアルタイム脅威検知機能を仮想化環境にシームレスに拡張します。オンプレミスおよびクラウドを含むネットワークのあらゆるポイントに対して優れた可視性と理解を提供します。

2

VM VM

VM

3

Darktrace vSensorとOS-SensorDarktrace の Enterprise Immune System はすべてのネットワーク アクティビティを観測し、企業のインフラ内に存在する深刻な異常を特定します。コアとなるDarktraceアプライアンスはデジタル通信の大部分が通過する物理ネットワークの中心にインストールされます。

Darktraceは、仮想環境内やクラウドのみのインフラを含むサードパーティのクラウドに対しても、今日の分散型インフラ全体にわたって容易に可視化を拡大することができます。

vSensorソフトウェアは仮想ネットワーク スイッチからSPANを受信するよう設定された仮想アプライアンスとしてインストールされます。これによりすべてのVM間トラフィックを、1つのパケットも損失あるいはドロップすることなくキャプチャすることができます。 パケット キャプチャをローリング ベースで保存し、ディスクスペースとI/Oパフォーマンスをを最適化することにより、サーバのパフォーマンスに与える影響は最小限にとどめています。ハードウェア・サーバ1台につきvSensorは1つだけインストールすればよく、スケーラビリティが確保されています。

vSensorはDarkflowシステムを使って関連のあるメタデータのみを抽出し、取り込んだ生のネットワーク トラフィックの1%を物理ネットワークの任意の場所にあるマスター・アプライアンスに効率的かつ安全に送信します。

Darktrace vSensorは業界標準フォーマットで仮想（ソフトウェア）アプライアンスとして配布されます。VMWare、ESXi およびOpen Virtualization Formats (OVF) をサポートするその他の仮想環境に対応するよう開発されています。

vSensor

OS-SensorOS-Sensorは、クラウド内の仮想マシンに簡単にインストールできる、軽量なホストベースのサーバーエージェントであり、ネットワークトラフィックのコピーをインテリジェントに抽出して帯域幅の使用を合理化し、データの重複を回避するように動的に構成します。データはvSensor内で集約され、安全な接続を介してマスター・アプライアンスにフィードバックされます。

Darktrace OS-Sensorは、ハイパーバイザーへのアクセスを必要とせず、パフォーマンスへの影響を最小限に抑えながら、組織のすべてまたは選択したクラウドトラフィックを表示できます。LinuxおよびWindowsで利用可能なOS-Sensorは、ホスティングされているどこであっても、Enterprise Immune Systemによる監視をクラウド環境に提供でき、組織の可視化を実現します。

特長

○ 限定されたIPのセットから仮想トラフィックを取り込む

○ 軽量なホストベースのエージェント

○ 物理ネットワークのトラフィックは取り込まない

○ クラウド全体っｚの可視化が可能

○ 取り込んだ生のネットワーク トラフィックの約1%をマスター アプライアンスに送信

○ サードパーティー クラウド環境を含め完全なクラウド環境で動作可能

4

vSensor使用例当社のお客様にとってvSensorが特に有効ないくつかの事例は次のようなものです。

1. 所有ハードウェア サーバ内の複数のVMDarktrace Enterprise Immune Systemの標準的な運用には、1台のハードウェア アプライアンス内の仮想サーバーから別のハードウェア アプライアンス内の仮想サーバーへのすべてのトラフィックのキャプチャが含まれます。これは、トラフィックが物理的なネットワーク接続をトラバースするためです。

ハードウェア サーバにvSensorをインストールすることにより、単なるもう1つのVMとして動作すし、可視性は同じ物理アプライアンス内のVM間のトラフィックにまで拡張されます。

vSensorソフトウェアはマスターDarktrace（ハードウェア）アプライアンスと共に使用する必要があります。

物理サーバ

仮想マシン

仮想マシン 仮想マシン

エンタープライズ ネットワーク

マスター アプライアンス

仮想スイッチ

物理サーバ

仮想マシン

仮想マシン 仮想マシン

仮想スイッチ

モデル化される可視トラフィック

モデル化されないトラフィック

DarktracevSensor

図 2：Darktrace vSensorを使った場合の仮想化ハードウェア サーバの可視性

VM

VM

VM VM

VM

VM

5

マスター アプライアンス

エンタープライズ ネットワーク

モデル化される可視トラフィック

モデル化されないトラフィック

仮想スイッチ

物理サーバ オフィス拠点

仮想マシン

仮想マシン 仮想マシン 物理デバイス 物理デバイス

物理デバイス 物理デバイス

物理スイッチ

DarktracevSensor

2. 遠隔地リモート オフィスや離れた場所に、それぞれ数台のマシンが配置されている場合があります。代表的なケースとして、300か所の営業所あるいは販売店のそれぞれに、5台のマシンがある場合を考えてみます。このようなインフラを持つ組織において、それぞれの拠点に1台ずつ300台のDarktraceアプライアンスを導入することは実用的ではありません。

Darktrace vSensorを使用すれば、この必要はありません。関連するトラフィックがvSensorをホスティングしている仮想環境内に入っていればDarktraceはこれらの相互通信をキャプチャし各拠点内で移動しているデータに対する考察を得ることができます。データはマスター アプライアンスに送り返され、そこでEnterprise Immune Systemによる詳細な解析が行われます。

図 3： Darktrace vSensorを使った場合のブランチ サーバの可視性

VM VM

VM

VM

VM

VM

VM

3. マネージド型サードパーティ クラウド プロバイダマネージド型のクラウドコンピューティング環境を使用する場合、物理サーバに対する直接のアクセスがなくても、クラウド環境内を移動するデータをセキュリティ モニタリングに含めたいと考えるでしょう。物理ネットワークに接続されたマスターDarktraqceアプライアンスはクラウド データセンター内のデータにアクセスしているユーザまたはクライアントの活動を既にキャプチャしています。さらにvSensorを使用することで、クラウド内の横方向の情報の流れに対する可視性も得ることができます。 OS-Sensorにより、Darktraceは仮想ネットワークのトラフィックもキャプチャすることができます。OS-Sensorは軽量なホストベースのサーバ エージェントであり、クラウド上の仮想マシンに簡単にインストールすることができます。OS-Sensorはネットワーク トラフィックの単一コピーを非侵襲的な方法でインテリジェントに作成し、自己を動的に構成してデータの重複を回避し、帯域幅を効率的に使用することができます。データはvSensor内に集積され、安全な接続を使ってマスター アプライアンスに送られます。 Darktrace OS-Sensorは詳細に設定が可能で、クラウド トラフィックのすべてあるいは選択されたものをチェックし、ハイパーバイザーへのアクセスを必要とせずパフォーマンスへの影響も最小限です。LinuxおよびWindowsに対応したDarktrace OS-Sensorは堅牢かつ弾力性があり、可視性を高めてホスティングの場所にかかわらずクラウド環境に Enterprise Immune Systemのモニタリング機能を適用することを可能にします。

サードパーティー ホスト

仮想マシン

仮想マシン 仮想マシン

DarktracevSensor

モデル化される可視トラフィック

モデル化されないトラフィック

OSS

次を含む大手ホスティングサービスに対応：

インターネット

エンタープライズ ネットワーク

マスター アプライアンス

OSS

OSS

図 4：　サードパーティーがホスティングするサーバとDarktrace vSensorを使用した場合の可視性

6

VM

VM

VM

VM

VM

vSensor

VM

OSS

OSS

OSS

OSS

技術使用：Darktrace vSensorsとOS-Sensorsをインストールするには、仮想トラフィックを特定のVMに分散するか、管理対象ホスティングサービスのVMにOS-Sensorsをインストールする必要があります。また、マスターアプライアンスへの接続と仮想アプライアンスにまたがる元のトラフィック量の1％を転送するのに十分な帯域幅が必要です。

vSensor技術仕様S M L

CPU数 2 4 8RAM 3GB 8GB 32GBハードドライブ 10GB 30GB 100GBデバイス数制限 10 100 500トラフィック 10Mbps 100Mbps 400Mbps毎分の接続数 1000 5000 20000

7

クラウドのみの環境

Darktraceは社内ネットワークを持たずに組織内ユーザがクラウドのデータへアクセスする環境での管理をすることができます。この場合、Darktrace Enterprise Immune Systemは、物理アプライアンス無しでクラウド内で実行されます。クラウドのみの展開には、データ収集、数学処理と検出からThreat Visualizerおよびサイバーアナリストサービスまで、物理アプライアンスで提供される完全なサービスを含みます。Darktraceは物理アプライアンスをインストールする代わりにvSensorsとOS-Sensorsが既存のクラウドにインストールされます。

Darktraceで管理されたサードパーティホスト

エンタープライズネットワーク(マスターアプライアンスは不要)

インターネット

＊デバイス制限は見積のためです。 これは、vSensorの制限ではなく１分あたりの帯域幅と接続が重要となります。　１分あたりのすべての接続数とデバイス数が、マスター・アプライアンスのサイジング内に収まる必要があります。

サードパーティホスト

Darktrace間の通信

モデル化されたトラフィック

主要なホスティング・サービスと互換性があります。

図 5： 　 クラウド・ネットワークを100%可視化

マスタークラウド アプライアンス( Darktraceによって管理)

Darktrace Enterprise Immune Systemセキュリティ防御の新たなソリューション (機械学習による内部ネットワークの可視化 )

Enterprise Immune System(エンタープライズ・イミューンシステム ) は、組織が内部からの継続的脅威に直面するという原則に基づくサイバー防御への新しい技術的アプローチです。人間の免疫システムの自己学習知能にヒントを得たこの新たなアプローチは、リアルタイムで組織内の「自己」を知ることのできる最先端技術によって実現しています。他のセキュリティ防御装置ではすり抜けて発生する脅威を検知することが可能なシステムです。サイバー脅威は多様な形態を取るため、例えばウイルスDNA などは、予測がますます困難になってきており、選ばれた環境の中で生き延びるために絶えず突然変異し進化し続けています。人間の身体は、その免疫システムを通してこの問題と取り組んで個々の身体にとって正常とは何かを絶えず学習し続け、正常な進化のパターンに適合しない異常値を特定することができます。Darktrace は、同じロジックを企業環境に応用しています。Enterprise Immune Systemの技術は、全てのネットワーク、デバイス、個々のユーザの「生活パターン」を繰り返し学習し、狙われていることを知らない脅威を示すわずかな動態を見分けるために、この情報を関連付けます。

機械学習 で新型の動きの速い脅威を検知するDarktrace の独自技術は最新の機械学習で強化され、組織のネットワーク環境で何が正常なのかを学習することで、どんな動作が異常かを判断することができます。情報をより高い壁で囲い込もうとする従来のアプローチは、今日の脅威を防ぐには不十分です。ケンブリッジ大学の専門家による機械学習と数学理論の先端研究により、ネットワーク内に脅威が常に存在することを前提とする、サイバーセキュリティの新しい時代が始まっています。Darktrace の機械学習は、「悪い」振る舞いを事前に定義した過去の攻撃で得られた知識に依存することなく、情報の自動的なモデル化とクラス化を動的かつリアルタイムに実行することが可能です。これにより、以前ならば気付かなかったタイプのサイバー攻撃、つまり未知の未知を検知できるようになりました。

ネットワークの正常状態を知る

株式会社ピーエスアイ〒160-0022 東京都新宿区新宿5-5-3 　建成新宿ビル4FTEL: 03-3357-9980 FAX: 03-5360-4488大阪営業所〒532-0011 大阪府大阪市淀川区西中島3-21-13 新大阪日新ビル4FTEL: 06-4805-9601 FAX: 06-4805-9610

※記載された社名、製品名は各社の登録商標です※仕様は、予告なく変更される場合があります。

問い合わせ先:

2017/3http://www.psi.co.jp

DarktraceについてDarktraceは、最先端の機械学習で世界をリードするサイバー防衛企業です。数々の受賞歴を誇るEnterprise Immune Systemは、人間の免疫システムに着想を得たケンブリッジ大学の数学の専門家が開発した人工知能のアルゴリズムを応用して、組織内のあらゆるデバイス、ユーザの生活パターンを常に学習し、物理、仮想、クラウド、IoTデバイス、産業用制御システム(ICS)などあらゆる種類・規模のネットワークで機能する自己学習型プラットフォームにより、ルールやシグネチャに依存せず、ゼロディ攻撃や内部脅威、ランサムウェアなどの未知の脅威をリアルタイムかつ自動的に検知する画期的な技術です。設立以来、わずか４年弱で従業員数は370名を超え、前年比600%の成長を続けるDarktraceは、世界60カ国における2,000以上の導入実績において30,000を超える未知の脅威を検知しました。本社は米国サンフランシスコと英国ケンブリッジにあり、世界に23の拠点を置いています。