複雑化するネットワークとセキュリティをシンプルに－クラウド時代の新しいソリューション「SASE」－

2020年3月13日パロアルトネットワークス株式会社

モバイル支社/拠点

企業のネットワーク構成はより複雑に

2 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

本社

複雑な構成ユーザーの利便性

セキュリティギャップ

リモートアクセスVPN

安全ではない通信

データセンター

パブリッククラウド インターネット SaaS

MPLS/専用線

WEBプロキシ

CASBプロキシ

サイト間VPN

サイト間VPN

1 2 3

FWFW

プロキシ

Gartnerが新たなMQカテゴリー「SASE」を発表

3 | © 2019 Palo Alto Networks. All Rights Reserved.

The Future of Network Security

Is in the Cloud, Gartner 2019

● Defines the Secure Access Service Edge category

● Outlines the benefits, risks, recommendations

● Provides a competitive overview

● Download the report here:https://www.gartner.com/doc/reprints?id=1-1XO7YYCN&ct=191022&st=sb

Read this report!

サッシー

Secure Access Service Edge（SASE）とは

4 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

SECURE ACCESS SERVICE EDGE

SASE

SECURITYAS A SERVICE

NETWORKAS A SERVICE

SSL 復号CASB Cloud SWG ZTNA

FWaaS DNS DLPサンドボックス

SD-WAN

QoS

ポリシーベース転送

Network as a Service

IPSec VPN

SSL VPN

ネットワークとセキュリティの機能を統合し、クラウドサービスとして提供

Secure Access Service Edge（SASE）とは

5 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

SECURITY as a Service Layer

NETWORK as a Service Layer

SaaSパブリッククラウド

インターネット本社/データセンター

支社/拠点

モバイル

SECURE ACCESS SERVICE EDGE

SASE

場所やアクセス先に関係なく、必要なサービスを提供しポリシーを施行

Prisma Access: 最も包括的なSASEソリューション

6 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

SaaSパブリッククラウド

インターネット本社/データセンター

支社/拠点

モバイル

SECURITY as a Service Layer

SSL Decryption CASB Cloud SWG ZTNA

DNSFWaaS

DLPSandboxing

NETWORK as a Service Layer

SD-WAN IPSec VPN Policy Based Forwarding

Network as a ServiceSSL VPNQoS

Prisma Access

Prisma Accessのアーキテクチャ

7 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

VPNVPN VPN VPN

アプリケーションFW

AV、IPS、URLフィルタリングサンドボックス、DLP

DNSセキュリティ、SSL復号、etc.

小規模拠点海外拠点工場、店舗

テレワーク出張者

Panoramaによる一元管理

● 設定の一元管理

● ログの可視化

● 拠点からの接続

○ 本社/拠点間のセキュリティをクラウド上で管理○ ユーザーは機器のメンテナンス不要○ 各拠点にはVPN装置を設置○ 利用帯域による課金体系

● モバイルユーザからの接続

○ モバイル端末がクラウドに自動的に接続することで社内ネットワークと同じセキュリティを提供

○ ユーザーは機器のメンテナンス不要○ モバイル端末にエージェントをインストール○ 利用ユーザ数による課金体系

次世代FWと同等のセキュリティ機能

Prisma Accessと次世代FWのハイブリッド構成

8 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

Panoramaによる一元管理

● 設定の一元管理

● ログの可視化

VPNVPN

VPNVPN

本社、DC

大規模拠点

次世代FW

小規模拠点海外拠点工場、店舗

テレワーク出張者● 大規模拠点からの接続

○ 既存の次世代FWを活用○ インターネットへのアクセスは直接接続○ 他拠点やモバイルユーザとはPrisma Accessを介して接続○ 次世代FWとPrisma Accessで一貫したセキュリティ○ Panoramaにより次世代FWとPrisma Accessをまとめて一元管理

Prisma Accessと非クラウドFWとの違い

9 | © 2019, Palo Alto Networks. All Rights Reserved.

セキュリティ関連機能Prisma Access

クラウドサービスPAシリーズ

ファイアウォール

アプリケーション可視化・アクセス制御機能 (App-ID) ○ ○

ユーザ識別・アクセス制御機能 (User-ID) ○ ○

URLフィルタ機能 ○ ○

アンチウイルス機能 ○ ○

アンチスパイウェア機能 ○ ○

IPS機能 ○ ○

ゼロデイマルウェア対策機能(WildFire) ○ ○

SSL復号化検査機能 ○ ○

中核となるセキュリティ機能や管理方法はすべて同一

Panorama(集中管理製品)により、 Prisma AccessとオンプレミスのPAファイアウォールの一元管理が可能なため、シンプルで一貫性のあるセキュリティ管理を実現

Prisma

Access

Prisma Accessの特長

場所・種類を限定しない

優れた接続性

10 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

類稀なセキュリティ機能 システム間連系と

データの有効活用

● 世界100以上のロケーションで同一セキュリティポリシーを提供

● 拠点間を結ぶ高品質高速回線● IoTを含むあらゆるホストの接続をサポートする非Proxy通信環境*1

● SD-WAN連携● お客様固有の固定IPによる、アクセス先システムでの容易なホワイトリスト対応

● 世界最大の脅威インテリジェンスクラウドWildFireと連携

● アンチウィルス、クラウドベースのDNSセキュリティ/URLフィルタ、フィッシング対策などSASEで求められるセキュリティを高次元で提供

統合管理製品Panoramaによる、オンプレミスやパブリッククラウド上の次世代ファイアウォールとの統合管理

クラウドベースのログ保管・解析エンジンCortexによるエンドポイントとの連携、ログの相関分析、NTA、UBAの実現

*1 for Networksのみ。for Usersはエージェントが必要

Prisma Access を活用したインターネットブレイクアウト

11 | © 2017, Palo Alto Networks. Confidential and Proprietary.

専用線(MPLS)/VPNNGFW

本社/データセンター 拠点 拠点 拠点

✔通信の一極集中による帯域の圧迫とNGFW含む既設機器への負荷増大

✔通信速度の低下や遅延によるユーザー利便性の低下

✔専用線/VPNサービスのコスト負担

インターネット

NGFW

本社/データセンター 拠点 拠点 拠点

Prisma

Access

IPsec

インターネット

● 拠点の通信を分離、Prisma Accessを介して安全にインターネットアクセス

● 速度低下・遅延の解消によるユーザー利便性の向上

● 専用線/VPNサービスのコスト節約

Prisma Access による海外拠点アプライアンス機器の撤廃

12 | © 2017, Palo Alto Networks. Confidential and Proprietary.

NGFW

本社/データセンター 拠点 拠点 拠点

✔拠点ごとのアプライアンス機器設置、運用保守、更改などの維持負荷

✔異なる機器間での一貫性のあるポリシー適用が困難

インターネット

本社/データセンター 拠点 拠点 拠点

● 拠点のアプライアンス撤廃による機器運用維持負荷からの解放

● クラウドサービスによるOS更新の自動化

● 異なる拠点間で一貫性のあるポリシー適用

● 拠点増加への柔軟な拡張対応

NGFW

Prisma

Access

IPsec

インターネット

13 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

Prisma Accessによってローケーションの影響を改善

NGFW

日本本社/データセンター

海外モバイル

許可されたSaaS

✔誰がどのクラウドサービスを利用しているかの把握・統制が困難

✔海外から日本国内へ一旦接続してからSaaSを利用することによるレスポンス悪化

NGFW

日本本社/データセンター

海外モバイル

許可されたSaaS

Prisma

Access

● 世界中に配備されているクラウドFWから、最も近いリージョンに自動接続

● インターネット/イントラネットへのアクセス制御と脅威防御を実施

オリパラ期間や災害時の大規模テレワーク実現

14 | © 2017, Palo Alto Networks. Confidential and Proprietary.

フリーWifi/野良Wifiのリスク

自分の端末 同じWifiを利用している他者の端末

傍受/情報窃取

遠隔操作

悪意のある第三者

横感染

インターネットからの感染

Wifiアクセスポイント

インターネット

Prisma Accessによるセキュアな通信の確立

自分の端末 同じWifiを利用している他者の端末

悪意のある第三者

SSL/IPsec VPNでの通信の

暗号化/トンネリングにより

傍受・乗っ取りから防御

脅威インテリジェンスに

より、既知/未知を含む

あらゆる脅威を防御

ローカルサブネットとの

通信を遮断、横展開での

感染を予防

ユーザーは意識する

ことなく、自動的に

セキュアな通信を利用

インターネット

Prisma Access

15 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

プロキシ/セキュアWebゲートウェイからの移行

✔Web以外の通信の可視化、制御は非対応✔高パフォーマンスが求められる

SaaSアプリケーションでは非推奨✔PACファイルの運用、管理負荷

インターネット

モバイルユーザ

拠点

Web

検査されていない非ウェブ

検査されていない非ウェブ

● Webを含む全ての通信を可視化、制御● 高パフォーマンス、

SaaSへのレイテンシをカバーするSLA

● PACファイル不要

サイト間IPsecを介した全ての通信

モバイルユーザ

拠点

インターネット

Ipsec VPNを介した全ての通信

Prisma Accessによって提供されるSD-WAN

Prisma™ Access

ベネフィット

業界をリードする一貫したセキュリティ一貫したポリシー適用

エンドツーエンドかつ高パフォーマンス

シンプルな利用方法

16 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

NGFW

SD-WANハブとして動作

SD-WANエッジデバイスとして動作パスメトリック、パス選択、動的パス変更、etc.

SaaS 利用に潜む様々なリスク

SaaS 個人メール

✔メール転送設定で個人メールへ転送

SaaS

✔短期間でのファイルの大量ダウンロード

✔機密情報が含まれるファイルなどを外部共有

✔フォルダにマルウェアファイルを保存・拡散

SaaS

17 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

18 | © 2019 Palo Alto Networks. All Rights Reserved.

SaaSセキュリティの包括的なアプローチ（CASB）

リモートユーザー

支社・拠点

本社

許可

条件付き許可

禁止

SaaSに対する通信の可視化と、段階的なアクセス制御、脅威防御

API

情報漏えい対策 マルウェア対策

コンテキストによるデータ公開の制御

機械学習によるファイルの分類

マルウェアの検出＆除去

コンテンツ検査アナリティクス

複数のSaaS横断で、利用状況やリスクを可視化・モニタリングし、データを保護

PrismaSaaS

PrismaAccess

C&C

App-ID

Threat URL

WildFire

Prisma SaaSがサポートするアプリケーション

Citrix Sharefile

Gmail

Dropbox

最新のリストは以下に記載https://docs.paloaltonetworks.com/prisma/prisma-saas/prisma-saas-admin/secure-cloud-apps/supported-saas-applications

19 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

20 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

コンテンツ公開範囲毎に分類

External

Internal

Public

Company

社外の1人以上と共有

所有者が未共有、社内の特定ユーザーと共有

パブリックリンクなど誰でもアクセス可能な状態

社内で誰でもアクセス可能な状態

各種ファイル、ユーザー、アクティビティ、ドメインなど一覧表示

21 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

ファイルの詳細を確認

22 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

基本情報

23 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

公開状態の確認

24 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

WildFireレポートの確認

25 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

26 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

ファイルのアクティビティや保存場所の確認

該当ファイルのロケーション表示

ファイルへのアクセス履歴表示として、参照・アップロード・ダウンロード、アクセスユーザーなどを記録。

27 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

データパターンに一致した内容の確認

あらかじめ、ポリシーで設定したデータパターンに該当した情報を検知し表示データパターンは、正規表現での記述や、特定の文字列の有無など様々な形で判定が可能です。

GDPRレポートの出力

28 | © 2018, Palo Alto Networks. All Rights Reserved.

GDPRのレギュレーションに沿ったレポート出力し、SaaS毎に該当ファイルの確認することも可能です。

SaaS Visibility

SaaSの評価

・認定の有無

(SOC1,2,PCIなど)

・データ漏洩履歴

・サービス継続性

(財務の健全性）

・利用規約の不備

・IP制限の有無

Prisma SaaS が DataLake に接続して、蓄積された Prisma Access やPA シリーズのログから SaaS に特化したレポートを表示

29 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

SASEまとめ

30 | © 2019 Palo Alto Networks, Inc. All Rights Reserved.

ブレイクアウトやSD-WAN、リモートアクセスVPNなど、個別の要件に対してご検討される場合でも、是非SASEの考え方を踏まえて検討して頂くことをお勧めします

複雑で運用負荷の高い個別のソリューションから脱却し、SASEソリューションをご検討下さい

SASEの運用費用

SASEの初期費用

SD-WAN

初期費用

SD-WAN

運用費用

プロキシ初期費用

プロキシ運用費用

FW

初期費用

FW

運用費用

CASB

初期費用

CASB

運用費用

RAS

初期費用

RAS

運用費用

専用線初期費用

専用線運用費用

THANK YOU