Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Copyright © 2013 Trusted Computing Group
ネットワークセキュリティのための標準技術
Trusted Network Connect
ジュニパーネットワークス株式会社パートナー技術本部
内藤 正規
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #2
目次
TNC と TCG の紹介
TNC とは?
どんな問題をTNCで解決できるのか?
TNCはどうやって問題を解決するのか?
TNCのアーキテクチャと標準技術
TNCへの参加とTNC標準の認証
TNCのメリット
ケーススタディ
まとめと参照情報のポインタ
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #3
Trusted Network Connect (TNC)
ネットワークセキュリティのためのオープンなアーキテクチャ
完全にベンダーに対して中立の存在
トラステッドコンピューティングを通じた強力なセキュリティ
元々はNAC(Network Access Control)のために作られた物だが、現在はネットワークセキュリティ全体へより広く対応している
ネットワークセキュリティのためのオープンスタンダード
全ての設計仕様がオープン (TCGウェブサイト上からも取得可能)
2005年に初めて準拠した製品が出荷
Trusted Computing Group(TCG)で開発
標準化グループ
100以上の企業が参加
ユーザー、ベンダー、大小の規模を問わず様々な企業が参加
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #4
TCG: 信頼できるシステムの標準規格
モバイルデバイス
ユーザーやデバイスの認証
安全なストレージ
アプリケーション •ソフトウェアスタック
•OS
•ウェブサーバー
•認証
•データー保護
インフラ
サーバー
PC
セキュリティ
ハードウェア
ネットワーク
セキュリティ
プリンタなどの
イメージングデバイス
仮想化プラットフォーム
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #5
Trusted Platform Module(TPM) とは?
PC/デバイスのマザーボード(主基板)上に実装されるセキュリティハードウェア
TCGから仕様は公開されている
耐タンパ性をもち、プラットフォーム内で独立することでソフトウェア攻撃にも耐性を持つ
今日、現在ではほとんどの企業向けPCに採用されている
“オプトイン(ユーザーの同意なしに利用不可)”のため、デフォルトでは必ず使用されない状態
提供される機能
安全な鍵の保管場所を提供
暗号化の機能を提供
整合性チェックをし、リモートに対して機器の状態を証明
アプリケーションでの利用
強力なユーザー/機器認証を提供
セキュアなストレージ(鍵の保管場所など)を提供
トラステッドブート、セキュアブートを可能にする
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #6
TNCが解決する問題
ネットワークとエンドポイントの可視化
誰が、何がネットワークを使用しているのか?
ネットワーク上のそれらのデバイスはセキュアか? ユーザーの振る舞いは適切か?
ネットワークへのエンフォースメント
明示的に許可をされた端末、振る舞い以外をブロックする
デバイスやユーザーそれぞれ個別に適切なアクセスレベルの適用
デバイスの回復
“健康でない”デバイスや脆弱なデバイスを隔離して回復を行う
セキュリティシステムとしてのインテグレーション
例えば、リアルタイムにユーザーの情報や脅威となりうる振る舞いの情報をを他の機器と共有したり
Network AccessControl (NAC)
セキュリティの自動化
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #7
基本的な NAC のアーキテクチャ
Access
Requestor
(AR)
Policy
Enforcement
Point
(PEP)
VPN
Policy
Decision
Point
(PDP)
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #8
MAP 他のセキュリティデバイスとの接続
Access
Requestor
(AR)
Policy
Enforcement
Point
(PEP)
Policy
Decision
Point
(PDP)
Metadata
Access
Point
(MAP)
IF-MAP対応
センサーや
フロー
コントローラ
脅威検知等
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #9
セキュリティの自動化によるつながり
データ漏洩防止 クラウドやサーバー 侵入検知 ネットワークスイッチ 無線LAN ファイアウォール
IPアドレス
マネジメント(IPAM)
脅威管理
(SIM / SEM)
資産管理ツール
AAA
ICS/SCADA
セキュリティ
物理セキュリティ
エンドポイントセキュリティ
(NAC)
IF-MAP
プロトコル
Metadata
Access
Point
( MAP)
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #10
TNCの実装例
ヘルスチェック
振る舞いチェック
ユーザーごとのアクセスポリシー
TPMを利用したシステムの整合性(正当性)チェック
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #11
Health Check
利用ポリシーに違反 Windows 7
SP1
× OSHotFix MS13-077
× OSHotFix MS13-076
AV - hogehoge scan 8.0
Firewall 利用
Access Requestor
利用ポリシーに準拠 Windows 7
SP1
OSHotFix MS13-077
OSHotFix MS13-076
AV – fugafuga AV 10.1
Firewall利用
Production Network
Policy Enforcement Point
Policy Decision
Point
NAC ポリシー Windows XP
•SP3
•OSHotFix 2499
•OSHotFix 9288
•AV (one of)
• fugafuga AV 10.1
• hogehoge scan 8.0
•Firewall 利用
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #12
振る舞いチェック
Access Requestor Policy
Enforcement
Point
Remediation
Network
Policy Decision
Point
NAC Policy
•No P2P file sharing
•No spamming
•No attacking others
Metadata
Access
Point
Sensors
and Flow
Controllers
!
! !
!
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #13
ユーザーごとのアクセスポリシー
Access Requestor
ジョー – 財務 Windows 7
SP1
OSHotFix MS13-077
OSHotFix MS13-076
AV – fugafuga AV 10.1
Firewall利用
Policy
Enforcement
Point
Policy Decision
Point
NAC Policy
•Users and Roles
•Per-Role Rules
Metadata
Access
Point
Sensors
and Flow
Controllers
メアリー – 開発部隊
ゲストユーザー
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #14
TPMを利用したシステムの整合性チェック
利用ポリシーに準拠 TPM verified
BIOS
OS
Drivers
Anti-Virus SW
業務用
ネットワーク
Access Requestor Policy Decision
Point Policy Enforcement
Point
NAC Policy TPM enabled
•BIOS
•OS
•Drivers
•Anti-Virus SW
TPM – Trusted Platform Module
• TPMはPCに組み込み済み
• Hardwareを信頼できる
• 重要なコンポーネントをトラステッドブートから監視
• PDPはPTS interface をとおして、PCの構成の整合性をチェックし、必要な場合に回復を促す
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #15
クライアントを導入できないエンドポイント
Access Requestor
(エージェントが導入不可な組み込み機器など)
Policy Decision
Point
Policy
Enforcement
Point
Metadata
Access
Point
Sensors
and Flow
Controllers
NAC Policy
•Place Printers on
Printer Network
•Monitor Behavior
! !
隔離、回復用
ネットワーク
!
!
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #16
TNC のアーキテクチャ図
Policy Decision
Point Policy
Enforcement
Point
Access Requestor
Verifiers Verifiers
t
Collector Collector
Integrity Measurement
Collectors (IMC)
Integrity Measurement
Verifiers (IMV)
IF-M
IF-IMC IF-IMV
Network
Access
Requestor
Policy
Enforcement
Point (PEP)
Network
Access
Authority
IF-T
IF-PEP
TNC Server
(TNCS)
TNC Client
(TNCC)
IF-TNCCS
TSS
TPM
Platform Trust
Service (PTS)
IF-PTS
Metadata
Access
Point
Sensors
and Flow
Controllers
Metadata
Access
Point
IF-MAP
IF-MAP
IF-MAP
IF-MAP
Sensor
IF-MAP
Flow
Controller
IF-MAP
http://www.trustedcomputinggroup.org/developers/trusted_network_connect/specifications
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17
TPM と TNCでルートキットを排除
“偽装端末”は時として重篤なリスクをもたらす
TPM はブートシーケンスを検証し、監査する
デバイスの状態をハッシュ化してPCRに保存(署名もする)
PCRの値はハードウェアリスタートしない限り外部からはリセットできない
→ PCの構成を変更したら手を加えたことが検出できる
TNCは 端末をネットワークに接続させるときに以下のことを行う
PDP はTPMとセキュアな通信を行えるように準備する
TPM はPCRの値をPDPへ送信する (TPM内で署名するので改竄できない)
PDP は“健全な状態” の値と比べる
健全な状態の値と違う場合、信頼できない端末として隔離される
(可能ならば、必要ならば、回復作業を行う)
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #18
TNC フェデレーション
セキュリティドメイン間で、TNCのステータスを融通
必要な情報を必要な相手と共有
(Consortia, coalitions, partnerships, outsourcing, and alliances)
機器のスケールを越える大きなネットワークなど
対応機能
デバイスステータスを伴うシングルサインオン
ヘルスチェックしてローミング
どうやって?
SAML を使用
利用用途
ネットワークローミング
組織間での情報の共有
機器のスケールにとらわれない設計が可能
Role=Executive
Device=Healthy
セキュリティを提供するドメイン
Asserting Security
Domain (ASD)
信頼するセキュリティドメイン
Relying Security
Domain (RSD)
Access Requestor
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #19
TNC と SCAP(セキュリティ設定共通化手順)
Access
Requestor
(AR)
Policy
Enforcement
Point
(PEP)
Policy
Decision
Point
(PDP)
Metadata
Access
Point
(MAP)
Sensors,
Flow
Controllers
SCAP
クライアント
SCAP
解析ソフト SCAP
外部サーバー
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #20
まとめ: TNCの柔軟なアーキテクチャ
アセスメントのオプション
識別情報、ステータス、振る舞い、場所 等々
TPMを追加すればハードウェアベースのアセスメントも可能
ネットワークに入る前にもチェックが出来、接続後も監視を続けることが可能
アクセスコントロールのオプション
802.1X、 ファイアウォール、VPNゲートウェイ、 DHCP、 ソフトウェアベース
クライアントを導入できないデバイスも許容できるオプション
NACに対応出来ない機器
プリンタ、電話、オートメーション制御機器、ゲストユーザーなど
情報を他のドメインと共有することが可能
IF-MAPはユーザーの識別情報、ステータス、振る舞いを共有することが出来る仕組み
IF-MAPだけではなく、フェデレーションもサポート
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #21
まとめ:TNC のメリット
オープンスタンダード!!
独自ではないため、マルチベンダー環境でいいとこ取りが出来る
インターオペラビリティーを持つ
ユーザーは導入に選択をすることが出来る
仕様を確認すれば第三者の検証がいつでも可能
既存ネットワークの効果を最大限に活かすことが出来る
非常に高い投資効果(ROI)を期待できる
将来に向けてのロードマップ
標準規格のみでのフル構成を可能に
Trusted Platform Module (TPM)のサポート
TNC標準に準拠している機器は既に市場にある!
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #22
TNC を取り入れている企業
Access
Requestor
Policy Decision
Point Policy
Enforcement
Point
Metadata
Access
Point
Sensors, Flow
Controllers
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #23
Microsoft NAP インターオペラビリティ
IF-TNCCS-SOH という“オープン規格”
Microsoft の Statement of Health (SoH) プロトコル
Microsoftにより、TCGへオープン規格として寄与された
TCGによって、新しいTNC規格の一つ、IF-TNCCS-SOHとして公開
利用できるWindowsシリーズ
Windows XP SP3以降、Windows Server 2008以降で対応
他のTNCベンダーでも組み込まれている
実装の概要
NAPサーバーはTNCクライアントを追加アプリケーションなしでチェック可能
(NAPクライアントはTNCサーバーから追加アプリケーションなしでヘルスチェック可能)
IF-TNCCS-SOH を実装すればMicrosoftでなくても箱出しでそのまま利用できる
NAP or TNC
Server
NAP or TNC
Client
IF-TNCCS-SOH
Switches, APs, Appliances, Servers, etc.
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #24
IETF と TNC
IETF NEA(Network Endpoint Assessment) WG
ゴールの設定: 普遍的に使用できるNACクライアント、NACサーバのプロトコルに合意を得る
Cisco所属の方とTNCワーキンググループが共同で作業
TNC プロトコルは徐々にRFCへ
PA-TNC (RFC 5792) 、PB-TNC (RFC 5793)
上記はTCGの IF-M 1.0 と IF-TNCCS 2.0と同じ物
Cisco、Intel、Juniper、Microsoft、Symantecによる共同編集
現在IF-TについてIETFの認可を得るために作業中
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #25
OSSでTNCをサポートしているソフトウェア
たくさんのOSSがTNCをサポートしている
University of Applied Arts and Sciences in Hannover, Germany (FHH)
http://trust.inform.fh-hannover.de
libtnc
http://sourceforge.net/projects/libtnc
OpenSEA 802.1X supplicant
http://www.openseaalliance.org
FreeRADIUS
http://www.freeradius.org
omapd IF-MAP Server
http://code.google.com/p/omapd
strongSwan IPsec
http://www.strongswan.org
Open Source TNC SDK (IF-IMV and IF-IMC)
http://sourceforge.net/projects/tncsdk
TCGによるOSSプロジェクトを支援する仕組み
Liaison Memberships (OSS開発者のための無料会員制度)
TNC header filesをオープンソースとしてライセンス
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #26
TNC 認定プログラム
適切にTNC標準を実装しているプロダクトに対しての認定
認定の課程
TCGが実施している自動化された準拠テストを受ける
Plugfest式(訳注:一斉接続大会的な物)に出して、
インターオペラビリティテストを行う
最終的にTCG Web siteに認定プロダクトとしてリストされる
TNC認定を受けるメリット
機器の相互接続性について信頼を得ることが出来る!
機器調達の要件に盛り込む/入り込む機会が増える!
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #27
TNC の利用実態
広く利用されているのか? 答えは “Yes”
100万単位のエンドポイントユーザー
1000を越えるユーザー
たくさんのプロダクト
セキュリティはどんな分野でも必要とされる
政府機関
金融機関
ヘルスケア
販売業、etc. etc. …
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #28
Case Study – St. Mary’s County Public Schools
Who
Public school district in
Maryland
16,000 students, 2,100
staff
26 schools, Grades K-12
New, intensive STEM
academies
STEM = Science,
Technology,
Engineering, and Math
Grades 6-12
要件
STEM academiesのための無線LANでのノートPC受け入れ
最も強力なセキュリティを必要としていた
STEMのノートPCのみを接続
ユーザーごとのアクセスコントロール
ノートPCに対する強力なヘルスチェック
全ての無線トラフィックの暗号化
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #29
St. Mary’s County Public Schools - Solution
ソリューション
Juniper UAC を利用
クライアントソフトウェアを導入
ヘルスチェックは常時
Juniperではない無線APを利用
802.1X による認証とコントロール
TNCから IF-PEP (PDP内のNetwork
Access Authorityと Policy
Enforcement Point間の通信規格) を使用
特徴的なデザイン
タイトなアクセスコントロールを実行
強いセキュリティ要求に対応
常時ヘルスチェックを実行
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #30
おさらい
TNCは今あるセキュリティの問題を解決し、成長を続ける
柔軟でオープンなアーキテクチャは変革にも素早い対応が出来る
協調して自動的に適応されるセキュリティはよりよく安価なソリューションとなる
TNCはオープンなネットワークセキュリティアーキテクチャであり、標準である
マルチベンダー間での相互互換性を持つ
既に行った投資を無駄にしない、さらに今後のコスト削減を実現する
ベンダーの囲い込みを避けることが出来る、次のソリューションも自由に選べる
TNCは最も強力なセキュリティを提供する
オプションで利用できるTPMはルートキットを排除できる
オープンなアーキテクチャは常に進化を続ける事ができる
TNC標準は広く支持されている
たくさんの機器ベンダー、オープンソース、IETF、等
Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #31
さらなる情報のポインタ
TNC Web Site
技術情報
http://www.trustedcomputinggroup.org/developers/trusted_network_connect
ビジネス情報
http://www.trustedcomputinggroup.org/solutions/network_security
TNCワーキンググループ 共同議長
Steve Hanna
Distinguished Engineer, Juniper Networks
Atul Shah
Senior Security Strategist, Microsoft