31
Copyright © 2013 Trusted Computing Group ネットワークセキュリティのための標準技術 Trusted Network Connect ジュニパーネットワークス株式会社パートナー技術本部 内藤 正規

Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright © 2013 Trusted Computing Group

ネットワークセキュリティのための標準技術

Trusted Network Connect

ジュニパーネットワークス株式会社パートナー技術本部

内藤 正規

Page 2: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #2

目次

TNC と TCG の紹介

TNC とは?

どんな問題をTNCで解決できるのか?

TNCはどうやって問題を解決するのか?

TNCのアーキテクチャと標準技術

TNCへの参加とTNC標準の認証

TNCのメリット

ケーススタディ

まとめと参照情報のポインタ

Page 3: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #3

Trusted Network Connect (TNC)

ネットワークセキュリティのためのオープンなアーキテクチャ

完全にベンダーに対して中立の存在

トラステッドコンピューティングを通じた強力なセキュリティ

元々はNAC(Network Access Control)のために作られた物だが、現在はネットワークセキュリティ全体へより広く対応している

ネットワークセキュリティのためのオープンスタンダード

全ての設計仕様がオープン (TCGウェブサイト上からも取得可能)

2005年に初めて準拠した製品が出荷

Trusted Computing Group(TCG)で開発

標準化グループ

100以上の企業が参加

ユーザー、ベンダー、大小の規模を問わず様々な企業が参加

Page 4: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #4

TCG: 信頼できるシステムの標準規格

モバイルデバイス

ユーザーやデバイスの認証

安全なストレージ

アプリケーション •ソフトウェアスタック

•OS

•ウェブサーバー

•認証

•データー保護

インフラ

サーバー

PC

セキュリティ

ハードウェア

ネットワーク

セキュリティ

プリンタなどの

イメージングデバイス

仮想化プラットフォーム

Page 5: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #5

Trusted Platform Module(TPM) とは?

PC/デバイスのマザーボード(主基板)上に実装されるセキュリティハードウェア

TCGから仕様は公開されている

耐タンパ性をもち、プラットフォーム内で独立することでソフトウェア攻撃にも耐性を持つ

今日、現在ではほとんどの企業向けPCに採用されている

“オプトイン(ユーザーの同意なしに利用不可)”のため、デフォルトでは必ず使用されない状態

提供される機能

安全な鍵の保管場所を提供

暗号化の機能を提供

整合性チェックをし、リモートに対して機器の状態を証明

アプリケーションでの利用

強力なユーザー/機器認証を提供

セキュアなストレージ(鍵の保管場所など)を提供

トラステッドブート、セキュアブートを可能にする

Page 6: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #6

TNCが解決する問題

ネットワークとエンドポイントの可視化

誰が、何がネットワークを使用しているのか?

ネットワーク上のそれらのデバイスはセキュアか? ユーザーの振る舞いは適切か?

ネットワークへのエンフォースメント

明示的に許可をされた端末、振る舞い以外をブロックする

デバイスやユーザーそれぞれ個別に適切なアクセスレベルの適用

デバイスの回復

“健康でない”デバイスや脆弱なデバイスを隔離して回復を行う

セキュリティシステムとしてのインテグレーション

例えば、リアルタイムにユーザーの情報や脅威となりうる振る舞いの情報をを他の機器と共有したり

Network AccessControl (NAC)

セキュリティの自動化

Page 7: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #7

基本的な NAC のアーキテクチャ

Access

Requestor

(AR)

Policy

Enforcement

Point

(PEP)

VPN

Policy

Decision

Point

(PDP)

Page 8: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #8

MAP 他のセキュリティデバイスとの接続

Access

Requestor

(AR)

Policy

Enforcement

Point

(PEP)

Policy

Decision

Point

(PDP)

Metadata

Access

Point

(MAP)

IF-MAP対応

センサーや

フロー

コントローラ

脅威検知等

Page 9: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #9

セキュリティの自動化によるつながり

データ漏洩防止 クラウドやサーバー 侵入検知 ネットワークスイッチ 無線LAN ファイアウォール

IPアドレス

マネジメント(IPAM)

脅威管理

(SIM / SEM)

資産管理ツール

AAA

ICS/SCADA

セキュリティ

物理セキュリティ

エンドポイントセキュリティ

(NAC)

IF-MAP

プロトコル

Metadata

Access

Point

( MAP)

Page 10: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #10

TNCの実装例

ヘルスチェック

振る舞いチェック

ユーザーごとのアクセスポリシー

TPMを利用したシステムの整合性(正当性)チェック

Page 11: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #11

Health Check

利用ポリシーに違反 Windows 7

SP1

× OSHotFix MS13-077

× OSHotFix MS13-076

AV - hogehoge scan 8.0

Firewall 利用

Access Requestor

利用ポリシーに準拠 Windows 7

SP1

OSHotFix MS13-077

OSHotFix MS13-076

AV – fugafuga AV 10.1

Firewall利用

Production Network

Policy Enforcement Point

Policy Decision

Point

NAC ポリシー Windows XP

•SP3

•OSHotFix 2499

•OSHotFix 9288

•AV (one of)

• fugafuga AV 10.1

• hogehoge scan 8.0

•Firewall 利用

Page 12: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #12

振る舞いチェック

Access Requestor Policy

Enforcement

Point

Remediation

Network

Policy Decision

Point

NAC Policy

•No P2P file sharing

•No spamming

•No attacking others

Metadata

Access

Point

Sensors

and Flow

Controllers

!

! !

!

Page 13: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #13

ユーザーごとのアクセスポリシー

Access Requestor

ジョー – 財務 Windows 7

SP1

OSHotFix MS13-077

OSHotFix MS13-076

AV – fugafuga AV 10.1

Firewall利用

Policy

Enforcement

Point

Policy Decision

Point

NAC Policy

•Users and Roles

•Per-Role Rules

Metadata

Access

Point

Sensors

and Flow

Controllers

メアリー – 開発部隊

ゲストユーザー

Page 14: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #14

TPMを利用したシステムの整合性チェック

利用ポリシーに準拠 TPM verified

BIOS

OS

Drivers

Anti-Virus SW

業務用

ネットワーク

Access Requestor Policy Decision

Point Policy Enforcement

Point

NAC Policy TPM enabled

•BIOS

•OS

•Drivers

•Anti-Virus SW

TPM – Trusted Platform Module

• TPMはPCに組み込み済み

• Hardwareを信頼できる

• 重要なコンポーネントをトラステッドブートから監視

• PDPはPTS interface をとおして、PCの構成の整合性をチェックし、必要な場合に回復を促す

Page 15: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #15

クライアントを導入できないエンドポイント

Access Requestor

(エージェントが導入不可な組み込み機器など)

Policy Decision

Point

Policy

Enforcement

Point

Metadata

Access

Point

Sensors

and Flow

Controllers

NAC Policy

•Place Printers on

Printer Network

•Monitor Behavior

! !

隔離、回復用

ネットワーク

!

!

Page 16: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #16

TNC のアーキテクチャ図

Policy Decision

Point Policy

Enforcement

Point

Access Requestor

Verifiers Verifiers

t

Collector Collector

Integrity Measurement

Collectors (IMC)

Integrity Measurement

Verifiers (IMV)

IF-M

IF-IMC IF-IMV

Network

Access

Requestor

Policy

Enforcement

Point (PEP)

Network

Access

Authority

IF-T

IF-PEP

TNC Server

(TNCS)

TNC Client

(TNCC)

IF-TNCCS

TSS

TPM

Platform Trust

Service (PTS)

IF-PTS

Metadata

Access

Point

Sensors

and Flow

Controllers

Metadata

Access

Point

IF-MAP

IF-MAP

IF-MAP

IF-MAP

Sensor

IF-MAP

Flow

Controller

IF-MAP

http://www.trustedcomputinggroup.org/developers/trusted_network_connect/specifications

Page 17: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17

TPM と TNCでルートキットを排除

“偽装端末”は時として重篤なリスクをもたらす

TPM はブートシーケンスを検証し、監査する

デバイスの状態をハッシュ化してPCRに保存(署名もする)

PCRの値はハードウェアリスタートしない限り外部からはリセットできない

→ PCの構成を変更したら手を加えたことが検出できる

TNCは 端末をネットワークに接続させるときに以下のことを行う

PDP はTPMとセキュアな通信を行えるように準備する

TPM はPCRの値をPDPへ送信する (TPM内で署名するので改竄できない)

PDP は“健全な状態” の値と比べる

健全な状態の値と違う場合、信頼できない端末として隔離される

(可能ならば、必要ならば、回復作業を行う)

Page 18: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #18

TNC フェデレーション

セキュリティドメイン間で、TNCのステータスを融通

必要な情報を必要な相手と共有

(Consortia, coalitions, partnerships, outsourcing, and alliances)

機器のスケールを越える大きなネットワークなど

対応機能

デバイスステータスを伴うシングルサインオン

ヘルスチェックしてローミング

どうやって?

SAML を使用

利用用途

ネットワークローミング

組織間での情報の共有

機器のスケールにとらわれない設計が可能

Role=Executive

Device=Healthy

セキュリティを提供するドメイン

Asserting Security

Domain (ASD)

信頼するセキュリティドメイン

Relying Security

Domain (RSD)

Access Requestor

Page 19: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #19

TNC と SCAP(セキュリティ設定共通化手順)

Access

Requestor

(AR)

Policy

Enforcement

Point

(PEP)

Policy

Decision

Point

(PDP)

Metadata

Access

Point

(MAP)

Sensors,

Flow

Controllers

SCAP

クライアント

SCAP

解析ソフト SCAP

外部サーバー

Page 20: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #20

まとめ: TNCの柔軟なアーキテクチャ

アセスメントのオプション

識別情報、ステータス、振る舞い、場所 等々

TPMを追加すればハードウェアベースのアセスメントも可能

ネットワークに入る前にもチェックが出来、接続後も監視を続けることが可能

アクセスコントロールのオプション

802.1X、 ファイアウォール、VPNゲートウェイ、 DHCP、 ソフトウェアベース

クライアントを導入できないデバイスも許容できるオプション

NACに対応出来ない機器

プリンタ、電話、オートメーション制御機器、ゲストユーザーなど

情報を他のドメインと共有することが可能

IF-MAPはユーザーの識別情報、ステータス、振る舞いを共有することが出来る仕組み

IF-MAPだけではなく、フェデレーションもサポート

Page 21: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #21

まとめ:TNC のメリット

オープンスタンダード!!

独自ではないため、マルチベンダー環境でいいとこ取りが出来る

インターオペラビリティーを持つ

ユーザーは導入に選択をすることが出来る

仕様を確認すれば第三者の検証がいつでも可能

既存ネットワークの効果を最大限に活かすことが出来る

非常に高い投資効果(ROI)を期待できる

将来に向けてのロードマップ

標準規格のみでのフル構成を可能に

Trusted Platform Module (TPM)のサポート

TNC標準に準拠している機器は既に市場にある!

Page 22: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #22

TNC を取り入れている企業

Access

Requestor

Policy Decision

Point Policy

Enforcement

Point

Metadata

Access

Point

Sensors, Flow

Controllers

Page 23: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #23

Microsoft NAP インターオペラビリティ

IF-TNCCS-SOH という“オープン規格”

Microsoft の Statement of Health (SoH) プロトコル

Microsoftにより、TCGへオープン規格として寄与された

TCGによって、新しいTNC規格の一つ、IF-TNCCS-SOHとして公開

利用できるWindowsシリーズ

Windows XP SP3以降、Windows Server 2008以降で対応

他のTNCベンダーでも組み込まれている

実装の概要

NAPサーバーはTNCクライアントを追加アプリケーションなしでチェック可能

(NAPクライアントはTNCサーバーから追加アプリケーションなしでヘルスチェック可能)

IF-TNCCS-SOH を実装すればMicrosoftでなくても箱出しでそのまま利用できる

NAP or TNC

Server

NAP or TNC

Client

IF-TNCCS-SOH

Switches, APs, Appliances, Servers, etc.

Page 24: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #24

IETF と TNC

IETF NEA(Network Endpoint Assessment) WG

ゴールの設定: 普遍的に使用できるNACクライアント、NACサーバのプロトコルに合意を得る

Cisco所属の方とTNCワーキンググループが共同で作業

TNC プロトコルは徐々にRFCへ

PA-TNC (RFC 5792) 、PB-TNC (RFC 5793)

上記はTCGの IF-M 1.0 と IF-TNCCS 2.0と同じ物

Cisco、Intel、Juniper、Microsoft、Symantecによる共同編集

現在IF-TについてIETFの認可を得るために作業中

Page 25: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #25

OSSでTNCをサポートしているソフトウェア

たくさんのOSSがTNCをサポートしている

University of Applied Arts and Sciences in Hannover, Germany (FHH)

http://trust.inform.fh-hannover.de

libtnc

http://sourceforge.net/projects/libtnc

OpenSEA 802.1X supplicant

http://www.openseaalliance.org

FreeRADIUS

http://www.freeradius.org

omapd IF-MAP Server

http://code.google.com/p/omapd

strongSwan IPsec

http://www.strongswan.org

Open Source TNC SDK (IF-IMV and IF-IMC)

http://sourceforge.net/projects/tncsdk

TCGによるOSSプロジェクトを支援する仕組み

Liaison Memberships (OSS開発者のための無料会員制度)

TNC header filesをオープンソースとしてライセンス

Page 26: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #26

TNC 認定プログラム

適切にTNC標準を実装しているプロダクトに対しての認定

認定の課程

TCGが実施している自動化された準拠テストを受ける

Plugfest式(訳注:一斉接続大会的な物)に出して、

インターオペラビリティテストを行う

最終的にTCG Web siteに認定プロダクトとしてリストされる

TNC認定を受けるメリット

機器の相互接続性について信頼を得ることが出来る!

機器調達の要件に盛り込む/入り込む機会が増える!

Page 27: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #27

TNC の利用実態

広く利用されているのか? 答えは “Yes”

100万単位のエンドポイントユーザー

1000を越えるユーザー

たくさんのプロダクト

セキュリティはどんな分野でも必要とされる

政府機関

金融機関

ヘルスケア

販売業、etc. etc. …

Page 28: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #28

Case Study – St. Mary’s County Public Schools

Who

Public school district in

Maryland

16,000 students, 2,100

staff

26 schools, Grades K-12

New, intensive STEM

academies

STEM = Science,

Technology,

Engineering, and Math

Grades 6-12

要件

STEM academiesのための無線LANでのノートPC受け入れ

最も強力なセキュリティを必要としていた

STEMのノートPCのみを接続

ユーザーごとのアクセスコントロール

ノートPCに対する強力なヘルスチェック

全ての無線トラフィックの暗号化

Page 29: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #29

St. Mary’s County Public Schools - Solution

ソリューション

Juniper UAC を利用

クライアントソフトウェアを導入

ヘルスチェックは常時

Juniperではない無線APを利用

802.1X による認証とコントロール

TNCから IF-PEP (PDP内のNetwork

Access Authorityと Policy

Enforcement Point間の通信規格) を使用

特徴的なデザイン

タイトなアクセスコントロールを実行

強いセキュリティ要求に対応

常時ヘルスチェックを実行

Page 30: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #30

おさらい

TNCは今あるセキュリティの問題を解決し、成長を続ける

柔軟でオープンなアーキテクチャは変革にも素早い対応が出来る

協調して自動的に適応されるセキュリティはよりよく安価なソリューションとなる

TNCはオープンなネットワークセキュリティアーキテクチャであり、標準である

マルチベンダー間での相互互換性を持つ

既に行った投資を無駄にしない、さらに今後のコスト削減を実現する

ベンダーの囲い込みを避けることが出来る、次のソリューションも自由に選べる

TNCは最も強力なセキュリティを提供する

オプションで利用できるTPMはルートキットを排除できる

オープンなアーキテクチャは常に進化を続ける事ができる

TNC標準は広く支持されている

たくさんの機器ベンダー、オープンソース、IETF、等

Page 31: Welcome To Trusted Computing Group | Trusted …...Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #17 TPM と

Copyright© 2013 Trusted Computing Group – Other names and brands are properties of their respective owners. Slide #31

さらなる情報のポインタ

TNC Web Site

技術情報

http://www.trustedcomputinggroup.org/developers/trusted_network_connect

ビジネス情報

http://www.trustedcomputinggroup.org/solutions/network_security

TNCワーキンググループ 共同議長

Steve Hanna

Distinguished Engineer, Juniper Networks

[email protected]

Atul Shah

Senior Security Strategist, Microsoft

[email protected]