セキュリティCDN: Imperva Incapsula

© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.

セキュリティCDN ：Imperva Incapsula

IMPERVA Inc.

株式会社Ｊストリーム

2016年8月4日

【第２部】


株式会社Ｊストリーム会社概要（東証マザーズ上場：証券コード4308）

Confidential 2

設立： 1997年5月資本金： 21億8,237万円（2016年3月末現在）代表者：代表取締役社長石松俊雄（いしまつとしお）本社：〒105-0014 東京都港区芝2-5-6 芝256スクエアビル6階西日本営業所：〒530-0003 大阪府大阪市北区堂島2-1-31 京阪堂島ビル5階福岡ラボ(開発拠点) ：〒810-0001 福岡県福岡市中央区天神1-12-7 福岡ダイヤモンドビル5階事業内容：（1）インターネットを利用した動画データ・画像データ・音声データの提供サービス業

（2）インターネットを利用した会員情報管理、商取引、決済処理に関する業務の受託（3）テレビ番組、音声・映像ソフト等のデジタルコンテンツ、出版物の企画・制作及び販売業（4）コンピュータに関するハードウェア・ソフトウェアの開発・販売（5）インターネットを利用した各種情報提供サービス業（6）インターネットに関する技術指導・コンサルテーション（7）広告代理店業

主要株主：トランス・コスモス株式会社KDDI株式会社

© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.Confidential 3

CDNサービス事業者としての 19 年にわたる数多くの実績をもとに、

ネットワークを通じた企業のコミュニケーション活動をサポート

人的サポート・制作/運用体制

アカウント営業＋専任スタッフによるサポート

CDN/配信インフラ

24/7での有人監視自社保有CDN/配信サーバー

お取引企業様は年間700社以上


講演者プロフィール

鍋島公章（なべしままさあき）

Confidential 4

• 株式会社Ｊストリーム配信事業統括本部プロダクト企画部エグゼクティブマネージャー

• 新規サービスの企画に従事

• 前職では国内モバイルキャリアでSOC(セキュリティオペレーションセンター)の立上げおよび運用に従事

• 監訳：実践ネットワークセキュリティ監査

• CISSP（米国ISC2認定情報セキュリティスペシャリスト）


Incapsula概要

Confidential 5

パフォーマンスセキュリティ可用性

最大の運用課題を解決

これらをクラウドから提供


Incapsulaアプリケーション配信クラウド

Confidential 6


Incapsulaの基本動作

Confidential 7

Webトラフィックを、Incapsulaネットワーク経由とすることにより、不正なトラフィックはブロックされ、正当なトラフィックは加速される

Incapsulaネットワーク Webサイト正当なトラフィック


Webサイトは多くの脆弱性を持つ

Confidential 8

96 % のWebアプリケーションは脆弱性を持つ

61 %以上のトラフィックは人以外が生成

96%61.5 %人以外のトラフィック

38.5%人が生成したトラフィック

WEBAPP

1/2 は悪意を持つ

Sources: Cenzic, Inc. – Feb. 2014, Incapsula, Inc. –2013


Incapsulaセキュリティモデル

Confidential 9

アクセス管理望まないIP、地域、国からのアクセスをブロック

Bot緩和自動攻撃、好ましくないBot、悪質な情報取得(スクレイパー)、スパムをブロック

WAFハッキング攻撃をブロック

OWASPトップ10攻撃(SQLi, XSS, etc.)

カスタムルール、ポリシーエンジンアプリケーション固有の攻撃をブロック


Incapsula WAF (Web Application Firewall)

• 様々な攻撃HTTPリクエストを排除

Confidential 10

Incapsulaネットワークオリジンサーバ

Bot

スパマー

正当なトラフィック

WAF

負荷分散

パフォーマンス強化DDoS緩和

ハッカー

DDoS

© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.11

WAFルール

• ルール– バックドア対策

– 外部ファイルインクルード対策

– SQLインジェクション対策

– クロスサイトスクリプティング対策

– 不正なリソースアクセス対策

• アクション– アラートのみ

– リクエストをブロック

– ユーザをブロック※

– IPアドレスをブロック

– ルールを無視

Confidential

※Incapsulaがユーザを認識するために独自のクッキーを追加

Incapsulaネットワーク


Webサイトを攻撃から防御

• ビルトインの2要素認証– 管理者パスワードの紛失・盗難から情報漏えいを守る

• (Webサーバ)バックドアの自動検知および検疫– 防御されたシステム上でマルウェアが動作することを防御

Confidential

追加防御によりクラッカーからWebサイトを防御


Incapsulaのセキュリティ・アドバンテージ

Confidential 13

クラウドベース階層セキュリティ

IP ReputationLists

ClientClassification

WAF

クラウドソーシング

ビッグデータ解析

• 160,000以上のサイト

• Tビット/秒のトラフィック

• 100万以上の攻撃

最もアップデートされた情報

• IPレピュテーション

• クライアント分類

• WAFシグネチャ

• ソフトウェア・ハードウェアの購入は不必要

• 数分で使用開始

• 専門家は不要

攻撃トレンドのクリアな可視化


DDoS攻撃の動向

Confidential 14

Sources: Incapsula, Inc. – 2014, 2014 Verizon Data Breach Investigation Report

平均的なDDoS攻撃は前年より42%巨大化

42%

平均DDoS 攻撃の規模/2014

10Gbps 200Gbps日常的な大規模攻撃/2014


DDoS攻撃 – 何を対策すべきか?

Confidential 15

• ネットワーク/物量 (Layer 3&4)

– 大量のトラフィックで、

ネットワーク回線を飽和させる

– 必要な対策: 巨大なネットワーク

• アプリケーション (Layer 7)

– 人間の行動に見せかけた攻撃で、

アプリケーションサーバを停止させる

– 必要な対策: 高度な識別


包括的なDDoS防御

Confidential 16

DNS

Web

UDP, TCP

SSH, FTP, Telnet

SMTP

SIP

DDoS防御防御される資産

WebsiteProtection

Name ServerProtection

インフラ防御

Webサイト防御

DNSサーバ防御


包括的なDDoS防御

Confidential 17

• 1.5 Tbps以上のミティゲーション容量

• 無制限の防御(頻度および攻撃規模)

• プロプライエタリ技術 (ソフトウェア, ハードウェア, アルゴリズム)

• 24x7 SOC – 経験豊かなセキュリティ技術者

DDoS防御防御される資産

DNS

Webアプリケーション

インフラ

DNSサーバ

Webサーバ

ネットワーク, サーバ

HTTP/S

DNS

SSH, FTP, Telnet, SMTP, etc.

レイヤー

3, 4

3, 4, 7

3, 4, 7


物量攻撃

プロトコル

アプリケーション

24x7 SOC

IncapsulaのDDoS対策

Confidential 18

• 物量攻撃– スクラビングネットワーク– 専用ハードウェアとソフトウェア– 拡張可能なアーキテクチャ

• プロトコルDDoS攻撃– レイヤー7プロキシ / DNSプロキシ– コネクション管理

• アプリケーションDDoS攻撃– 仮想パッチ

– Bot識別– アプリケーション認識– WAF防御– 高度なチャレンジ・レスポンス

• SOC(セキュリティオペレーションセンタ）

– 24x7サポート


Bot識別

• Botの特徴

– Cookieサポート： 30 ％

– JavaScript実行が可能：１％

– 独特の振る舞い

• Incapsulaクライアント識別

– 誤認識率（正当なトラフィックをBot扱いする）： 0.01 %以下

Confidential 19


Incapsula DDoS防御のアドバンテージ

• どのような規模のDDoS攻撃も簡単に防御 (グローバル

1.5 Tbps スクラビング・ネットワーク)

• どのようなタイプ (ネットワーク, アプリケーション, プロトコル, etc.)のDDoS攻撃も防御

• Webサイトのスローダウン, ユーザ体験への悪影響, 誤検知を最小化

Confidential 20


Incapsula DDoS防御のアドバンテージ

• 洗練されたアプリケーション層技術

– DDoSボットを検知するクライアント識別エンジン

– 誤検知を最小化する透過的なチャレンジ･レスポンス(クッキー、Javascript等)

– WAF統合によるマルチベクター攻撃対策

• プロプライエタリなミティゲーション(緩和)技術

– カスタムハードウェア、ソフトウェア、アルゴリズム

– 進化した（新種、擬態）DDoS攻撃に対応するシステムの完全管理

– システム全体に対するアップデートやカスタムルールの高速な展開

Confidential 21


コンテンツ配信とアクセラレーション

Confidential 22

高品質データセンタから構成されるグローバルCDN


Webサイトを訪問者の近くに配置

Confidential 23

Incapsulaはコンテンツを最適化しキャッシュする。訪問者は、ローカルなキャッシュからコンテンツを取得でき、高速なWebアクセスを得る

Incapsulaのキャッシュはすべて物理メモリで構成される


ワンタッチWebサイト高速化

• Webサイトのコンテンツを自動的に解析し、パフォーマンスの最適化を行う：– キャッシュ可能か？

– キャッシュの保存期間

– 頻繁に使用されるオブジェクト識別および優先化

Confidential 24

高速なWebページ表示帯域の節約 Webサーバの低負荷化


Incapsula負荷分散とフェイルオーバー

Confidential 25

クラウドの多様性をアプリケーション負荷分散に適用する

ローカル負荷分散

サイトのフェイルオーバー

グローバル負荷分散


なぜIncapsulaなのか？

著名な研究チーム161,000 以上の顧客サイト

1.5Tbpsネットワーク

27のデータセンター

Best DDoS Mitigation ServiceTop Ten Reviews 2013 – 2014

Best Web Security and Performance Service

Top Ten Reviews 2012 – 2014

Security Innovator of the Year Cloud Awards.com 2014

Readers choice: DDoS

Protection Solution of the YearSearch Security 2014

North America Top 10Red Herring – 2011

Gartner MQ Leader for Web Application Firewalls 2014, 2015

Forrester Wave Leader, DDoS Service Providers 2015

先端ソリューション

26Confidential


Forrester WaveのDDoS対策サービス分析

• Leaders(リーダ領域)にポジション

• Current Offering(提供される機能)

においてトップ

• マーケットにおけるプレゼンス

Confidential

Source: 2015 Forrester Wave™ for DDoS Service Providers, Q3 2015


顧客からの信頼（数千社以上）

Confidential 28

http://michigan.aaa.com/

http://michigan.aaa.com/

http://www.livepositively.com/?wt.mc_id=CCSLP

http://www.livepositively.com/?wt.mc_id=CCSLP


IncapsulaとCDNext

• 比較

Confidential 29

Incapsula CDNext

WAF機能 ○ ×

DDoS対策 ○ △※

DDoS対策(SOC) ○ ×

CDN機能 △ ○

CDN容量(ヒット率) △ ○

料金体系ピーク課金流量課金

追加サイトへの課金ありなし

※CDNextのDDoS対策：複数の数十Gbps配信拠点＋特定の拠点はISPのDDoS対策を導入


Incapsula価格体系

• 基本プラン

• 追加オプション

Confidential 30

Imperva Incapsula プラン名WAF

帯域幅Webサイト数 CDN

DDoS

Protection

Enterprise 20 20 Mbps 1 ○ 1GB



DDoS Protectionアップグレード

アップグレード：DDoS Protection （10Gbps）

アップグレード：DDoS Protection （50Gbps）

アップグレード：DDoS Protection （無制限）

Webサイト追加（抜粋)

1サイト追加

5サイト追加

10サイト追加


帯域について

• 配信帯域– (定常)ピーク10Mbps ≒ 配信量1TB/月≒100万PV/1MBページ

• DDoS攻撃

Confidential 31


IncapsulaとCDNext：ユースケース

• ファイル別の同時利用– Incapsula：HTMLファイル

– CDNext：イメージファイル

• メリット– Incapsulaの費用削減

– CDNextをIncapsulaのバックアップとして利用

Confidential 32

Webサイト

CDNext

HTML

PNG, JPG


補足：IncapsulaとCDNext他の組み合わせ

• フロント：Incapsula、バックエンド：CDNext

• CDNextの高度なキャッシュ機能を使用する

• フロント：CDNext、バックエンド：Incapsula

• IncapsulaのDDoS対策およびWAF機能が完全には動かない

Confidential 33

WebサイトCDNext

WebサイトCDNext

© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.Confidential 34

CDN情報サイトで最新技術情報を公開https://tech.stream.jp/

本セミナのサポートページ

https://tech.jstream.jp/blog/meeting/cdn_security_seminar/


ありがとうございました

https://www.stream.co.jp/

0120 – 65 - 8140

35Confidential

フリーダイヤル

Technology

セキュリティCDN: Imperva Incapsula