Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
2020年1月27日
Safeguard for Privileged Sessions (SPS)
製品ガイド
Rev 4.0
Safeguard
2
変更履歴
版 発行日 変更内容
第3.0 版 2017/8/23 新規作成
第3.1 版 2018/3/20 名称変更(Shell Control Box からBalabit PSM)
第3.2 版 2018/11/9 名称変更(Balabit PSM からSafeguard for Privileged Sessions)
第3.3 版 2019/5/27 記載内容修正(6ページ:バーチャルアプライアンス部)
第4.0 版 2020/1/27 Safeguard for Privileged Sessions 6 LTS
3
SPS(Safeguard for Privileged Sessions)は、米国One Identity 社の特権アクセス管理(PAM)ソリューションの中核を担う、特権セッション管理アプライアンスです。
特権ユーザーによるサーバーアクセスのアクティビティ監視と監査のためのプロキシゲートウェイです。
ユーザーの操作ログを動画で記録し、監査に耐えうる証跡を取得するとともに、国際基準のコンプライアンスに対応します。
エージェントレスで、サーバーとクライアントの間に設置するだけで、透過的に動作するため、現環境を変更することなく、サーバーへのアクセスを監視/コントロールし、簡単にセキュリティーレベルを強化できます。
本製品の概要
Safeguard for Privileged Passwords
(SPP)
特権パスワード管理
Safeguard for Privileged Sessions
(SPS)
Safeguard for Privileged Analytics
(SPA)
特権セッション管理 特権セッション分析
PAMソリューション“Safeguard”
4
SPSの基本機能SPSの基本機能は、以下の通りです。
監視機能:特権ユーザーをリアルタイムに監視します。
記録機能:特権ユーザーのセッション情報と操作画面ログを記録します。
再生機能:監査証跡をブラウザーまたは専用プレーヤーで動画再生します。
検索機能:様々な条件やテキストで検索できます。
レポート機能:コンプライアンス等に対応したカスタムレポートを自動作成します。
アラート機能:リアルタイムにアラートを通知、さらにはブロックもできます。
アクセス制御:特権ユーザーのセッションを詳細にアクセス制御できます。
5
SPSのWebインターフェースSPSは、WebベースのGUIインターフェースを通じて、ポリシーなどの設定や記録されている監査証跡の検索・閲覧を行います。
SSHの接続ポリシー設定例
6
SPSユーザーのアカウント制御
監査対象のターゲットへのアクセスの制御は、11ページの「特⾧-詳細なアクセス制御」を参照してください。
SPSではローカルにユーザーアカウントを作成でき、ユーザーが属するグループごとにSPSのWebインターフェースへのアクセス権限(全権限や監査証跡の検索のみなど)を詳細に設定し管理できます。
監査証跡の検索と閲覧する権限のみを付与されたグループ例
admin : 全権限が付与されたユーザー(デフォルト)
SPS
管理者A
Web インターフェース
ローカル DB
証跡A 証跡B 証跡C
監査証跡の検索・閲覧権限を、管理者ごとに設定できます。
例:この例では、管理者AはSPSのローカルDBに保存されている証跡Aしか検索できません
7
SPSの動作モード①
宛先:サーバーIP, ポート
サーバー
宛先:サーバーIP, ポート
クライアント
トランスペアレント(透過)モード
SPSは、クライアントとサーバーのセグメントを接続する透過ルータとして動作します。
すべての接続は、SPSを通過してサーバーに到達します。
SPSはプロキシゲートウェイであり、サーバーを他のネットワークから完全に分離します。
シングルインターフェーストランスペアレントモード
クライアント側とサーバー側の両方のトラフィックが同じインターフェースを使用します。
監査トラフィックをSPSに転送するため、高度なルーティング機能をサポートしている外部デバイスが必要になります。
<適用シーン>
・ネットワークトポロジーを変更したくない
・他のトラフィックをルーティングしたくない
上記のような場合に有効です。
クライアント構成を変更する必要ありません
8
SPSの動作モード②ノントランスペアレント(非透過)モード
SPSは、バスシオン(踏み台)ホストとして動作します。
クライアントは、SPSを宛先にする必要があり、直接サーバーにアクセスできません。
SPSは接続パラメーター(クライアントのIPアドレス、およびターゲットIPとポート番号)に基づいて、接続するサーバーを決定します。
インバンド宛先選択
ノントランスペアレントモードとあわせて、よく利用されます。
ユーザー名に宛先サーバー名を含めることで、単一の接続ポリシーで任意のサーバーへのアクセスが可能になります。
例:
ssh username@targetserver:port@sps_address:port
セキュアな踏み台サーバーとして利用可能
SPSの設定をシンプルにできます
9
特長 – アプライアンスSPSは、OSやアプリケーションソフトウェアがインストレーション済みのオールインアプライアンス製品です。導入後にすぐに使えるとともに、メンテナンスも簡単で、管理者の負担を軽減します。
Safeguard for Privileged Sessions
さらに、クライアントとサーバーから完全に独立した、エージェントレス製品です。
サーバーへの影響がなく、現行システムに負荷のかからない構築が可能です。
アプライアンスエージェントレス エージェントレス
クライアント サーバー
※アプライアンスには、VA(仮想アプライアンス)も用意されています。
10
特長 – セキュアな監査証跡ユーザーのセッション情報などが保存される監査証跡は、暗号化やタイムスタンプ、デジタル署名の付与が可能で、改ざんや情報漏洩を防止します。
復号 復号 署名 タイムスタンプ
暗号化、復号鍵なし 署名なし タイムスタンプなし
再生可能
監査証跡
※アップストリームトラフィックのみの暗号化や、アップストリームトラフィックに別の証明書を追加できます。
11
特長 – 詳細なアクセス制御 SSH、RDP、HTTPSなどの暗号化プロトコルも含め、サーバーに誰が(ユーザー名)、いつ(時間)、何を(チャネルタイプ)アクセスできるかをコントロールできます。
特定のチャネルだけを許可するようにコントロールできます。例えば、ファイル転送やファイル共有のような不要なチャネルを無効にし、サーバーのセキュリティリスクを軽減することができます。
SPSを導入すると、1台の簡単なシステムで、すべてのアクセスポリシーを強制適用できます。その結果、最小コストでインフラ全体のセキュリティレベルを確保できます。
12
機能 – リアルタイム監視
特権ユーザー サーバー
監査者
SPS
疑わしい特権ユーザー(たとえば、時間外のアクセスなど)の操作を、リアルタイムに動画で監視することができます。不正な操作があった場合、セッションを強制的に終了させることもできます。
SPS
13
機能 – リアルタイムアラート
※「削除」のようなコマンドが実行される前に、接続を遮断できます。例:$ sudo rm –rf directory
システムログにイベントを記録します。
すぐに接続を終了します。 電子メールの送信や、SNMPアラートを発します。
SPSの接続データベースにイベントを保存します。
Log Terminate Notify Store in DB
SPS で実行できるアクション
リアルタイムにネットワークトラフィックを監視し、画面にあるパターンを検知すると指定されたアクションを実行します。(SSH, Telnet)
14
機能 – セッション動画記録
監査証跡
SPS
動画
SPSは、クライアントとサーバー間のトラフィックから直接監査データを抽出、証跡(操作画面ログ)を完全性の高い動画で記録します。
操作画面ログ
ログイン(許可/拒否) IPアドレス ユーザー名 時間 等
セッション情報
15
機能 – セッション動画再生記録されたユーザーセッションは、動画で再生されます。ブラウザーまたは専用プレーヤー(Safeguard Desktop Player)が利用できます。
Safeguard Desktop Player でのSSHセッション再生
ブラウザーでのRDPセッション再生
アプリケーションをインストールせずに、SPSのWebインターフェースから動作できます。
リアルタイム再生、監査証跡のコンテンツ検索やビデオのエキスポートなどの機能が使用できます。
※操作端末に専用のアプリケーションのインストールが必要です。
16
機能 – 検索インターフェース記録されたユーザーセッションの検索は、ブラウザを利用したWebインターフェース上で行います。より視覚的なビューで、セッション情報を表示できます。
カードビュー
日付指定
タイムライン
統計情報チャート
検索クエリ
フロービュー
17
機能 – アクセス制御
《対応プロトコル》SSH, RDP, HTTP(s), Citrix ICA, VNC, Telnet
《その他制御対象項目》IPアドレス、ホスト名、時間、ユーザー、グループなど
SPSはプロトコルごとにトラフィックを制御します。
さらに、プロトコルチャネルタイプごとにアクセスを制御できます。
SSH SSHSPS
SPS
画面描画(Drawing)
コピー(Clipboard)
RDP画面描画(Drawing)
RDP
SSH:Session Shell、X11/Local/Remote forward、Agent、SCP、SFTP 等
RDP:Drawing、Clipboard、Disk/Scard/Printer Redirect、Sound 等
(チャネルタイプ例)
18
機能 – ファイル転送制御
《実行されたファイル転送例》
SCPやSFTP接続で転送されたファイルを記録することができます。また、SCPやSFTPチャネルの接続を拒否する設定も可能です。
エクスポート
SPS
アップロード
SCP/SFTP
ダウンロード
アップロード
SCP/SFTP
ダウンロード
REST ful API対応
19
機能 – ゲートウェイ認証
二段階認証
4-eyes承認
Webアクセスによる
ゲートウェイ認証
LDAP/Active Directory
パスワード管理
チケッティングシステム
SIEM
行動分析(準備中)
ローカルユーザー
ローカル資格情報ストア
SPSはゲートウェイとして動作し、様々な認証方式を利用できます。また、外部システムと統合して、資格情報の取得やSIEM連携も可能です。
多要素認証
プラグインフレームワーク
SPS
SPS自体の認証 外部システム連携
20
機能 – レポート
ユーザー名
ログイン情報履歴
トップ10セッション
PCI-DSS などのコンプライアンスや監査対応の手助けになります。
検索結果に基づいて作成された表やグラフの統計情報や監査証跡の内容を、ユーザー定義のカスタムレポートで自動生成し、管理者にメール送信します。
セッション履歴 接続に関する統計情報 長時間セッションのランキング SPSの設定変更情報 SPSのシステムヘルス 等
レポート例
21
機能 –アーカイブ/バックアップ
Rsync over SSH(バックアップのみ) SMB/CIFS NFS
ストレージ
アーカイブされた監査証跡は、SPS Web インターフェースからアクセスできます。
記録された監査証跡は、リモートサーバーやストレージに自動的にアーカイブ/バックアップまたはクリーンナップ(削除)できます。
※アーカイブは「保存領域を論理的に拡張」し、バックアップは「障害時の復旧」に使用します。
監査証跡
監査証跡
複製
移動
リストア
監査証跡
削除
SCB NAS 指定日数 指定日数
バックアップ(データを複製)・データをSPSへリストアして復旧できます。
アーカイブ(指定日数より古いデータを移動)・データをSPSへリストアできません。
クリーンアップ(指定日数より古いデータを削除)・内臓データを最新状態に保持します。
※NASのようなネットワークストレージが必要です。
22
機能 – SIEM連携特権セッションで起きた事象に関連するログメッセージとイベントを、外部のSIEM(Splunk、Arcsight など)に転送できます。イベントはsyslogとして送信され、そのメッセージ部分はJSONまたはCEFにフォーマットされます。
SplunkのSPSアプリケーション例
23
SPSのHA(高可用性)構成
クライアント サーバー
SPS
SPS
HA 同期 I/F
セカンダリー (Standby)
プライマリー (Active)
クライアント サーバー
障害発生
SPS
Standby ➡Active
プライマリー (Active)
セカンダリーノードはプライマリーノードを常に監視しており、プライマリーが機能を止めるとセカンダリーは直ちにアクティブになり、リモート接続を引き継ぎます。
保存したデータは同期してコピー
SPSのハードウェアアプライアンス(3000/3500)は、HA構成(高可用性/High Availability)で冗長化することができます。
テークオーバー
24
製品ラインナップ
※製品仕様は、予告なく変更される可能性があります。
SPSは、バーチャルアプライアンスとハードウェアアプライアンス(3xxxアプライアンスもしくはBlueVaultアプライアンス)を提供しています。
シリーズ モデル 形態 CPU メモリ HDD RAID NIC 電源
バーチャルアプライアンス
VA 仮想マシン
VMware ESXi 5.5/6.0/6.5 以降、Microsoft Hyper-V、Microsoft Azure、AWS(Amazon Web Service)、KVM (Kernel-based Virtual Machine)
ハードウェアアプライアンス
3000 物理1U
Intel Xeon E3-1275 3.60GHz4 Core
32GB(2x16GB)
8TB(4x2 TB)NLSAS
RAID 5(6TB)
4x1 Gbps 冗長化
3500 物理1U
2 x Intel Xeon Silver 4110 2.1GHz 8 Core ( = 16 Core)
64GB(8x8GB)
18TB(9x2 TB)NLSAS
RAID 50(12TB)
4x1 Gbps 冗長化
BlueVault H4GX 物理1U
Intel Xeon E-2124 3.3GHz4 Core
16GB 8TB(2x4 TB)
RAID 1(4TB)
2x1 Gbps
H2HGX 物理1U
Intel Xeon E-2134 3.5GHz4 Core
16GB 4TB(2x2 TB)
RAID 1(2TB)
2x1 Gbps 冗長化
HS3000GX
物理1U
Intel Xeon Silver 4110 2.1GHz 8 Core
40GB 8TB(4x2 TB)
RAID 5(6TB)
4x1 Gbps 冗長化
HS3500GX
物理1U
2x8 Core INTELXeon E5-2620V4 @2.1GHz
80GB 18TB(9x2 TB)
RAID 50(12TB)
4x1 Gbps 冗長化
画像はモデルH4GX
25
ライセンス体系
SPS
アプライアンスの種類・数量(ハードウェア/バーチャルアプライアンス)
監視対象の種類・数量(IDMユーザー/システム)
【Safeguard for Privileged Sessions(SPS)ライセンス・価格の考え方】
サーバー
ネットワーク機器
IDM ユーザー システム
SPSSPS
アプライアンス
※監視対象の種類(IDMユーザー/システム)は、いずれかをお選びください。
SPSのライセンス体系は、アプライアンスの種類・数量と監査対象(IDMユーザーまたはシステム)の数量・種類を選択するだけです。
26
SPS評価用ソフトウェア
https://www.jtc-i.co.jp/support/download/
※評価用でのご利用には、トライアルライセンスキーが必要です。弊社までお申し込み下さい。
https://www.jtc-i.co.jp/support/customerportal/index.php
SPSの評価用ソフトウェアは、弊社HPからダウンロードできます。
※再生用プレーヤーのDesktop Player もあわせてダウンロードしてください。
27
ジュピターテクノロジー株式会社
(Jupiter Technology Corp.)
住所 〒183-0023 東京都府中市宮町2-15-13
第15三ツ木ビル8F
URL http://www.jtc-i.co.jp/
製品に関するお問合せ
Tel 042-358-1250
Fax 042-360-0221
Email [email protected]
お問合せ