Upload
j-stream-inc
View
265
Download
0
Embed Size (px)
Citation preview
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
セキュリティCDN :Imperva Incapsula
IMPERVA Inc.
株式会社Jストリーム
2016年8月4日
【 第 2 部 】
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
株式会社Jストリーム 会社概要 (東証マザーズ上場:証券コード4308)
Confidential 2
設 立 : 1997年5月資 本 金 : 21億8,237万円(2016年3月末現在)代 表 者 : 代表取締役社長 石松 俊雄(いしまつ としお)本 社 : 〒105-0014 東京都港区芝2-5-6 芝256スクエアビル6階西日本営業所 : 〒530-0003 大阪府大阪市北区堂島2-1-31 京阪堂島ビル5階福岡ラボ(開発拠点) :〒810-0001 福岡県福岡市中央区天神1-12-7 福岡ダイヤモンドビル5階事 業 内 容 : (1)インターネットを利用した動画データ・画像データ・音声データの提供サービス業
(2)インターネットを利用した会員情報管理、商取引、決済処理に関する業務の受託(3)テレビ番組、音声・映像ソフト等のデジタルコンテンツ、出版物の企画・制作及び販売業(4)コンピュータに関するハードウェア・ソフトウェアの開発・販売(5)インターネットを利用した各種情報提供サービス業(6)インターネットに関する技術指導・コンサルテーション(7)広告代理店業
主 要 株 主 : トランス・コスモス株式会社KDDI株式会社
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.Confidential 3
CDNサービス事業者としての 19 年にわたる数多くの実績をもとに、
ネットワークを通じた企業のコミュニケーション活動をサポート
人的サポート・制作/運用体制
アカウント営業+専任スタッフによるサポート
CDN/配信インフラ
24/7での有人監視自社保有CDN/配信サーバー
お取引企業様は年間700社以上
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
講演者プロフィール
鍋島 公章(なべしま まさあき)
Confidential 4
• 株式会社Jストリーム 配信事業統括本部 プロダクト企画部エグゼクティブマネージャー
• 新規サービスの企画に従事
• 前職では国内モバイルキャリアでSOC(セキュリティオペレーションセンター)の立上げおよび運用に従事
• 監訳:実践ネットワークセキュリティ監査
• CISSP(米国ISC2認定 情報セキュリティスペシャリスト)
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula概要
Confidential 5
パフォーマンスセキュリティ 可用性
最大の運用課題を解決
これらをクラウドから提供
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsulaアプリケーション配信クラウド
Confidential 6
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsulaの基本動作
Confidential 7
Webトラフィックを、Incapsulaネットワーク経由とすることにより、不正なトラフィックはブロックされ、正当なトラフィックは加速される
Incapsulaネットワーク Webサイト正当なトラフィック
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Webサイトは多くの脆弱性を持つ
Confidential 8
96 % のWebアプリケーションは脆弱性を持つ
61 %以上のトラフィックは人以外が生成
96%61.5 %人以外のトラフィック
38.5%人が生成したトラフィック
WEBAPP
1/2 は悪意を持つ
Sources: Cenzic, Inc. – Feb. 2014, Incapsula, Inc. –2013
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsulaセキュリティモデル
Confidential 9
アクセス管理望まないIP、地域、国からのアクセスをブロック
Bot緩和自動攻撃、好ましくないBot、悪質な情報取得(スクレイパー)、スパムをブロック
WAFハッキング攻撃をブロック
OWASPトップ10攻撃(SQLi, XSS, etc.)
カスタムルール、ポリシーエンジンアプリケーション固有の攻撃をブロック
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula WAF (Web Application Firewall)
• 様々な攻撃HTTPリクエストを排除
Confidential 10
Incapsulaネットワーク オリジンサーバ
Bot
スパマー
正当なトラフィック
WAF
負荷分散
パフォーマンス強化DDoS緩和
ハッカー
DDoS
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.11
WAFルール
• ルール– バックドア対策
– 外部ファイルインクルード対策
– SQLインジェクション対策
– クロスサイトスクリプティング対策
– 不正なリソースアクセス対策
• アクション– アラートのみ
– リクエストをブロック
– ユーザをブロック※
– IPアドレスをブロック
– ルールを無視
Confidential
※Incapsulaがユーザを認識するために独自のクッキーを追加
Incapsulaネットワーク
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.12
Webサイトを攻撃から防御
• ビルトインの2要素認証– 管理者パスワードの紛失・盗難から情報漏えいを守る
• (Webサーバ)バックドアの自動検知および検疫– 防御されたシステム上でマルウェアが動作することを防御
Confidential
追加防御によりクラッカーからWebサイトを防御
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsulaのセキュリティ・アドバンテージ
Confidential 13
クラウドベース階層セキュリティ
IP ReputationLists
ClientClassification
WAF
クラウドソーシング
ビッグデータ解析
• 160,000以上のサイト
• Tビット/秒のトラフィック
• 100万以上の攻撃
最もアップデートされた情報
• IPレピュテーション
• クライアント分類
• WAFシグネチャ
• ソフトウェア・ハードウェアの購入は不必要
• 数分で使用開始
• 専門家は不要
攻撃トレンドのクリアな可視化
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
DDoS攻撃の動向
Confidential 14
Sources: Incapsula, Inc. – 2014, 2014 Verizon Data Breach Investigation Report
平均的なDDoS攻撃は前年より42%巨大化
42%
平均DDoS 攻撃の規模/2014
10Gbps 200Gbps日常的な大規模攻撃/2014
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
DDoS攻撃 – 何を対策すべきか?
Confidential 15
• ネットワーク/物量 (Layer 3&4)
– 大量のトラフィックで、
ネットワーク回線を飽和させる
– 必要な対策: 巨大なネットワーク
• アプリケーション (Layer 7)
– 人間の行動に見せかけた攻撃で、
アプリケーションサーバを停止させる
– 必要な対策: 高度な識別
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
包括的なDDoS防御
Confidential 16
DNS
Web
UDP, TCP
SSH, FTP, Telnet
SMTP
SIP
DDoS防御 防御される資産
WebsiteProtection
Name ServerProtection
インフラ防御
Webサイト防御
DNSサーバ防御
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
包括的なDDoS防御
Confidential 17
• 1.5 Tbps以上のミティゲーション容量
• 無制限の防御(頻度および攻撃規模)
• プロプライエタリ技術 (ソフトウェア, ハードウェア, アルゴリズム)
• 24x7 SOC – 経験豊かなセキュリティ技術者
DDoS防御 防御される資産
DNS
Webアプリケーション
インフラ
DNSサーバ
Webサーバ
ネットワーク, サーバ
HTTP/S
DNS
SSH, FTP, Telnet, SMTP, etc.
レイヤー
3, 4
3, 4, 7
3, 4, 7
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
物量攻撃
プロトコル
アプリケーション
24x7 SOC
IncapsulaのDDoS対策
Confidential 18
• 物量攻撃– スクラビングネットワーク– 専用ハードウェアとソフトウェア– 拡張可能なアーキテクチャ
• プロトコルDDoS攻撃– レイヤー7プロキシ / DNSプロキシ– コネクション管理
• アプリケーションDDoS攻撃– 仮想パッチ
– Bot識別– アプリケーション認識– WAF防御– 高度なチャレンジ・レスポンス
• SOC(セキュリティオペレーションセンタ)
– 24x7サポート
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Bot識別
• Botの特徴
– Cookieサポート : 30 %
– JavaScript実行が可能 : 1 %
– 独特の振る舞い
• Incapsulaクライアント識別
– 誤認識率(正当なトラフィックをBot扱いする) : 0.01 %以下
Confidential 19
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula DDoS防御のアドバンテージ
• どのような規模のDDoS攻撃も簡単に防御 (グローバル
1.5 Tbps スクラビング・ネットワーク)
• どのようなタイプ (ネットワーク, アプリケーション, プロトコル, etc.)のDDoS攻撃も防御
• Webサイトのスローダウン, ユーザ体験への悪影響, 誤検知を最小化
Confidential 20
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula DDoS防御のアドバンテージ
• 洗練されたアプリケーション層技術
– DDoSボットを検知するクライアント識別エンジン
– 誤検知を最小化する透過的なチャレンジ・レスポンス(クッキー、Javascript等)
– WAF統合によるマルチベクター攻撃対策
• プロプライエタリなミティゲーション(緩和)技術
– カスタム ハードウェア、ソフトウェア、アルゴリズム
– 進化した(新種、擬態)DDoS攻撃に対応するシステムの完全管理
– システム全体に対するアップデートやカスタムルールの高速な展開
Confidential 21
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
コンテンツ配信とアクセラレーション
Confidential 22
高品質データセンタから構成されるグローバルCDN
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Webサイトを訪問者の近くに配置
Confidential 23
Incapsulaはコンテンツを最適化しキャッシュする。訪問者は、ローカルなキャッシュからコンテンツを取得でき、高速なWebアクセスを得る
Incapsulaのキャッシュはすべて物理メモリで構成される
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
ワンタッチWebサイト高速化
• Webサイトのコンテンツを自動的に解析し、パフォーマンスの最適化を行う:– キャッシュ可能か?
– キャッシュの保存期間
– 頻繁に使用されるオブジェクト識別および優先化
Confidential 24
高速なWebページ表示 帯域の節約 Webサーバの低負荷化
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula負荷分散とフェイルオーバー
Confidential 25
クラウドの多様性をアプリケーション負荷分散に適用する
ローカル負荷分散
サイトのフェイルオーバー
グローバル負荷分散
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
なぜIncapsulaなのか?
著名な研究チーム161,000 以上の顧客サイト
1.5Tbpsネットワーク
27のデータセンター
Best DDoS Mitigation ServiceTop Ten Reviews 2013 – 2014
Best Web Security and Performance Service
Top Ten Reviews 2012 – 2014
Security Innovator of the Year Cloud Awards.com 2014
Readers choice: DDoS
Protection Solution of the YearSearch Security 2014
North America Top 10Red Herring – 2011
Gartner MQ Leader for Web Application Firewalls 2014, 2015
Forrester Wave Leader, DDoS Service Providers 2015
先端ソリューション
26Confidential
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.27
Forrester WaveのDDoS対策サービス分析
• Leaders(リーダ領域)にポジション
• Current Offering(提供される機能)
においてトップ
• マーケットにおけるプレゼンス
Confidential
Source: 2015 Forrester Wave™ for DDoS Service Providers, Q3 2015
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
顧客からの信頼(数千社以上)
Confidential 28
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
IncapsulaとCDNext
• 比較
Confidential 29
Incapsula CDNext
WAF機能 ○ ×
DDoS対策 ○ △※
DDoS対策(SOC) ○ ×
CDN機能 △ ○
CDN容量(ヒット率) △ ○
料金体系 ピーク課金 流量課金
追加サイトへの課金 あり なし
※CDNextのDDoS対策:複数の数十Gbps配信拠点+特定の拠点はISPのDDoS対策を導入
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula価格体系
• 基本プラン
• 追加オプション
Confidential 30
Imperva Incapsula プラン名WAF
帯域幅Webサイト数 CDN
DDoS
Protection
Enterprise 20 20 Mbps 1 ○ 1GB
Enterprise 50 50 Mbps 1 ○ 1GB
Enterprise 100 100 Mbps 1 ○ 1GB
DDoS Protectionアップグレード
アップグレード:DDoS Protection (10Gbps)
アップグレード:DDoS Protection (50Gbps)
アップグレード:DDoS Protection (無制限)
Webサイト追加(抜粋)
1サイト追加
5サイト追加
10サイト追加
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
帯域について
• 配信帯域– (定常)ピーク10Mbps ≒ 配信量1TB/月≒100万PV/1MBページ
• DDoS攻撃
Confidential 31
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
IncapsulaとCDNext:ユースケース
• ファイル別の同時利用– Incapsula:HTMLファイル
– CDNext:イメージファイル
• メリット– Incapsulaの費用削減
– CDNextをIncapsulaのバックアップとして利用
Confidential 32
Webサイト
CDNext
HTML
PNG, JPG
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
補足:IncapsulaとCDNext他の組み合わせ
• フロント:Incapsula、バックエンド:CDNext
• CDNextの高度なキャッシュ機能を使用する
• フロント:CDNext、バックエンド:Incapsula
• IncapsulaのDDoS対策およびWAF機能が完全には動かない
Confidential 33
WebサイトCDNext
WebサイトCDNext
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.Confidential 34
CDN情報サイトで最新技術情報を公開https://tech.stream.jp/
本セミナのサポートページ
https://tech.jstream.jp/blog/meeting/cdn_security_seminar/
© 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
ありがとうございました
https://www.stream.co.jp/
0120 – 65 - 8140
35Confidential
フリーダイヤル