既存の環境に容易にアドオンし、高セキュリティとミッショ …...既存の環境に容易にアドオンし、高セキュリティとミッションクリティカルシステムを実現

既存の環境に容易にアドオンし、高セキュリティとミッションクリティカルシステムを実現

IceWall MCRP のご紹介

2019年11月更新 ver.1.1

日本ヒューレット・パッカード株式会社IceWallソフトウェア本部

2© Copyright 2019 Hewlett Packard Enterprise Development LP

目次

概要アーキテクチャセキュリティ強化機能IceWall MCRP機能お問い合わせ

概要


新たな認証基盤のニーズ

他社サイトとの連携やクラウドサービスとの接続などによって、認証基盤の対象範囲および関係者の数が急速に拡大し、社内・社外を含めた大規模環境にも適応できるミッションクリティカルな認証基盤が求められています。クラウドや仮想化環境での操作、もしくはその環境との接続が必要条件となります。また、ステークホルダーが増加し、認証基盤の更新が益々容易ではなくなります。

他社とのSAML接続

認証

他サイトとのOpenID

接続

XaaS

Windows

認証基盤の範囲が拡大

Salesforce.com

Google

接続性に優れたミッションクリティカルな認証基盤

スケーラビリティ

セキュリティ

無停止

新たな認証基盤のニーズ


認証基盤に必要な要素を満たすSSOソリューション

IceWall SSOは従来は勿論のこと、今後の認証基盤に必要とされる要素を機能として実装している国内唯一のシングルサインオンソリューションです。

クラウド技術への適用

きめ細かいアクセスログ機能

仮想化上での動作

スケーラビリティの確保

無停止運用

認証処理速度の向上

長期的な製品保証

64bit OSへの対応

セキュリティ対策の強化

IP v6対応

クラウドサービスとの接続保証

IceWall


IceWall MCRPとは

主な機能Apacheの専用組み込みモジュールによる高速リバースプロキシバックエンドWebアプリサーバーのURLの隠蔽クロスサイトスクリプティング、SQLインジェクション防御機能（悪意のある文字列のフィルタリング防御）

Webサーバー障害時の自動フェイルオーバーHTTPヘッダーの制御 IceWall SSO認証モジュールとの連携によるSSO（シングル・サインオン）所要時間のログ出力（バックエンドサーバーでの所要時間を記録し、ボトルネック・スローダウンの原因解析が可能）

従来のIceWall SSOのフォワーダー（dfw）と比べて、性能面・セキュリティ機能を大幅に強化した、リバースプロキシサーバーとして動作するソフトウェアです。

Webアプリ

ユーザー

コンテンツアクセス

IceWall MCRP

RPモジュール

リバースプロキシ

Apache

Webコンテンツ

Webサーバーソフト

改修なしコンテンツアクセス

アーキテクチャ


IceWall MCRPのアーキテクチャ

IceWall MCRPはApacheのモジュールとして読み込まれてメモリ上に常駐して動作するため、従来のIceWall SSOのフォワーダー（dfw）と比べて処理が高速（CPUの使用量が少ない）になっています。また、バックエンドWebサーバーとHTTP/1.1での通信が可能です。

dfw (CGI)Ap

ach

e（親）

dfw (CGI)

dfw (CGI)

dfw (CGI)

hｔｔｐｄ(子)

hｔｔｐｄ(子)

hｔｔｐｄ(子)

hｔｔｐｄ(子)

設定ファイル

Ap

ach

e（親）

hｔｔｐｄ(子) +mod_iw

設定ファイル




1リクエスト毎にdiskから都度読み込まれる

プロセスとして常駐する

プロセスの起動時及び設定変更時のみ

diskから読み込まれる

IceWall SSOフォワーダー（dfw）のアーキテクチャ

IceWall MCRP のアーキテクチャ

Process

CGI

※MCRPの設定ファイルを変更してもApacheの再起動は必要ありません

HTTP/1.0

または1.1

HTTP/1.0

または1.1HTTP/1.0

または1.1

HTTP/1.0のみ（制限）

1リクエスト毎に都度起動される

ユーザー

ユーザー

Webアプリ

Webアプリ


IceWall SSOとの連携によるシングルサインオン

IceWall MCRPはIceWall SSOと連携することで、シングルサインオン（SSO）の環境を実現して、複数のアプリケーションへのログインを1度に済ますことができます。

IceWall SSOと組み合わせてシングルサイオン（SSO）環境を実現する場合の構成

IceWall MCRP単体での構成

Webアプリ

ユーザーコンテンツアクセス

IceWall MCRP

RPモジュール


Apache

Webコンテンツ

Webサーバーソフトコンテンツアクセス

Webアプリ

ユーザーコンテンツアクセス

IceWall MCRP

RPモジュール


Apache

Webコンテンツ



フォワーダ

エージェント(mod)

アクセス制御

認証モジュール

ログイン時のみ(認証)

認可

認証DB

IceWall SSOフォワーダ IceWall SSO認証サーバー

ログイン時のみ

機能


IceWall MCRPによるWebセキュリティ強化

Webアプリケーションの前段にIceWall MCRPを配置することにより、既存のWebアプリケーションを改修することなく、Webセキュリティを強化することができます。

• クロスサイトスクリプティング（XSS）への防御

• SQLインジェクションへの防御

• URL/Query Stringを利用したバッファオーバーフローへの防御

• アクセスログの一元取得・管理※考えられるほとんどの攻撃パターンに対して防御はできますが、全てのパターン・新たな攻撃パターンに対して完全に防御できるわけではありません。

※SQLインジェクションの防御以外の各機能は、IceWall SSOの標準機能と同等です。

Webアプリ

ユーザー


IceWall MCRP

RPモジュール


Apache

Webコンテンツ


改修なしコンテンツアクセス


クロスサイトスクリプティング（XSS）への防御

正当な利用者が悪サイトのリンクを押してしまうと、XSS未対応のサーバーを経由して不正なスクリプトダウンロードして実行してしまい、不正に情報を搾取されてしまう可能性があります。

MCRPのXSSフィルタリング機能により、リクエストデーター及びコンテンツ内の不正な文字列を検出し、セッションを切断または無害化してクライアントにダウンロードさせることが可能です。

不正スクリプトによりセッション情報、パスワード等が流出

・リクエスト内の不正スクリプトを検出して無害化またはエラーページ表示・不正スクリプトの含まれるコンテンツをダウンロードする際、フィルタリングにより無害化、またはエラーページを表示

スクリプトが埋め込まれたリクエストを送信

表示された不正スクリプトをダウンロードして実行情報漏洩

ユーザー

不正ページ

リンク

Webアプリ

未対応

ユーザー

スクリプトが埋め込まれたリクエストを送信

Webアプリ

未対応

攻撃者

被害防止

スクリプトが埋め込まれたコンテンツ

攻撃者

不正ページ

リンク

IceWall MCRP


SQLインジェクションへの防御

悪意のある攻撃者がSQLインジェクション未対応のWebアプリケーションに、SQL文を含んだ不正な文字列を送る事により、顧客データー等の機密情報を不正に取得する可能性があります。

MCRPのSQLインジェクション対応機能により、SQL文を含んだ不正なリクエストを検出し、セッションを切断する事が可能です。

Webアプリ

未対応本来実行させてはならないSQL文を埋め込んだ不正なリクエストを送信

SQLの実行結果を攻撃者に提供してしまう

情報漏洩

機密情報

DBサーバー

攻撃者

Webアプリ

未対応本来実行させてはならないSQL文を

埋め込んだ不正なリクエストを検出し、エラー表示

攻撃者

DBサーバー

被害防止IceWall MCRP


MCRPによるXSS/SQLインジェクション対策のメリット①

IceWall MCRP

システム内にクロスサイトスクリプティング・SQLインジェクションへの対策が行われていないサーバーやアプリケーションが放置されているような場合でも、MCRPによってフロントエンドで一括でフィルタリングを行う事ができ、かつパフォーマンスの劣化も最小限に抑えることが可能です。

DBサーバー

■リクエストデーター/ダウンロードコンテンツ<SCRIPT>→<SCRIPT>

のようにXSSの攻撃に使用されうる文字列を、無害化してからクライアントに返却（またはエラー画面を表示する）■リクエストデーターあらかじめ定義している入力変数内に、¥などの特殊文字が混入されている場合、リクエストをエラーとして処理し、Webサーバーに渡さない

ユーザー

攻撃者

ダウンロードしたコンテンツに埋め込まれた不正なスクリプトを実行させられ情報を漏洩してしまう。

不正なSQLコマンドを含むコードを実行して機密情報を奪取する

Webアプリ

未対応

Webアプリ

未対応

DBサーバー

Webアプリ

Webアプリ


MCRPによるXSS/SQLインジェクション対策のメリット②

SSLを使用している場合、HTTPの通信が暗号化されているため、XSS/SQLインジェクションの対策を行うポイントが絞られてきます。リバースプロキシを行うMCRPサーバーでは、必然的にSSLの複合化・再暗号化を行う事となるため、合わせてHTTPのフィルタリングをするのが非常に合理的です。

攻撃者

ユーザー

Webアプリ DBサーバー

DBサーバー

サーバー証明書

Webアプリ

サーバー証明書

暗号化されているため

ここでのフィルタリングは困難

MCRPサーバーでフィルタリングとあわせて復

号化・再暗号化

ファイヤウォール

SSL

SSL

SSL

非SSL

IceWall MCRP


他のWebセキュリティソリューションとの比較

費用面性能面セキュリティ面その他

IceWall MCRPによる対策

UTM/WAF等に比べて安価

モジュールが小さく性能劣化が極小。トラヒックが増えてもLBによるスケールアウトが可能

メジャーな攻撃手法であるXSS/SQLインジェクションを防御することが可能

モジュールの追加によりシングルサインオン環境を簡単にアドオンできる。

UTM/WAFによる対策

ベンダー・機種により異なるが、高性能なモデルではかなり高額となる場合もある

機種によりボトルネックとなる可能性もある。トラヒックが増えてもスケールアウトできない製品が多く、置換えが必要

ベンダー毎のパターンファイル及びその更新によりマイナー・新しい攻撃を防御可能

アプリケーション改修による対策

アプリケーション規模が大きい場合、数が多い場合はかなり高額となる場合もある

アプリケーション改修による再テスト・性能面への影響評価・チューニング等が必要

開発のミスなどにより、セキュリティホールが残る、バグ等が生じる可能性がある

IceWall MCRPによるWebセキュリティ強化は、他の方法と比べて導入が簡単であり、ボトルネックになりにくいというメリットがあります。

UTM・・・Unified Threat Management、複数のセキュリティ機能が統合的に実装されたセキュリティ機器WAF・・・Web Application Firewall、Webアクセスに特化したレイヤ７のファイアウォール


トランザクションID出力機能を利用したログ管理

同一トランザクション内（クライアントtoクライアント）で共通のIDを持ち回り、ログや画面に出力します。IDを突き合わせることにより、障害解析をより迅速にすすめることが可能となります。（ICP2.0のみ）

IceWall SSO＋MCRPでのトランザクションID出力機能を利用したログ管理例

ユーザー

IceWall サーバー

認証サーバー認証DB

TRN ID:XX123

トランザクションIDをヘッダーに付加し、バックエンドWeb

サーバーに送付も可能

各エラー画面にトランザクションIDを埋め込み出力することも可能

最初にエージェントにアクセスする際にトランザクションIDを生成 TRN ID:XX123

POINT

ログイン

XX123

IceWallエージェント＋MCRP

TRN ID:XX123

同一リクエストのログには同じIDを付加

Webアプリ

XX123XX123

XX123

XX123

XX123

MCRP

エージェント

お問い合わせ


お問い合わせおよび周辺サービス

最新/詳細情報

• IceWall Federation公式サイトhttp://www.hpe.com/jp/icewall-mcrp

• IceWall SSO公式サイトhttp://www.hpe.com/jp/icewall

• 技術レポート（新規レポート随時公開中）http://www.hpe.com/jp/iw-report

• カタログhttp://www.hpe.com/jp/iw-catalog

• IceWall SSO 評価用マニュアルダウンロード

http://www.hpe.com/jp/icewall-download

各種サービス

• 導入サービス

• コンサルティングサービス

• エンジニア様向け技術トレーニング

• 海外拠点への導入・コンサルティングサービス

お電話でのお問い合わせ（日本ヒューレット・パッカードカスタマー・インフォメーションセンター）

0120-268-186 / 03-5749-8279 （携帯電話・PHSから）

受付時間：月曜日～金曜日 9:00-19:00（土、日、祝祭日、年末年始および5月1日を除く）

Webフォームからのお問い合わせ http://www.hpe.com/jp/iw-contact

http://www.hpe.com/jp/icewall-mcrp

http://www.hpe.com/jp/icewall

http://www.hpe.com/jp/iw-report

http://www.hpe.com/jp/iw-catalog

http://www.hpe.com/jp/icewall-download

http://www.hpe.com/jp/iw-contact

THANK YOU

Documents

既存の環境に容易にアドオンし、 高セキュリティとミッショ …...既存の環境に容易にアドオンし、 高セキュリティとミッションクリティカルシステムを実現

既存の環境に容易にアドオンし、高セキュリティとミッショ …...既存の環境に容易にアドオンし、高セキュリティとミッションクリティカルシステムを実現