IT SLA ガイドライン-追補版:SaaS 対応編°‘間向け IT システムの SLA ガイドライン-追補版:SaaS 対応編 2 目 次 1章 背景 3 2章 SaaS とは
Prisma...
Transcript of Prisma...
Prisma SaaSのご紹介
2020年5月パロアルトネットワークス株式会社Fuminori Kurose
クラウドジャーニーTHE JOURNEY TO THE CLOUD
クラウド環境へのユーザーアクセスとデータ転送(from/to)
どのように、クラウド環境に
安全にアクセスするか
SaaSアプリケーションの利用状況の把握とコントロール
どのように、SaaSアプリを安全に利用するか
クラウド上のアプリケーション設計、開発、デプロイ、運用
どのように、
パブリッククラウド上で
安全にアプリ開発〜運用するか
2 | © 2020 Palo Alto Networks, Inc. All rights reserved.
3 | © 2020 Palo Alto Networks, Inc. All rights reserved.
クラウド利用状況
(出典)総務省「通信利用動向調査」
https://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html
ガイドライン整備により、官公庁でも今後もクラウド利用の増加が予測される
4 | © 2020 Palo Alto Networks, Inc. All rights reserved.
責任共有モデルの再確認
https://docs.microsoft.com/ja-jp/azure/security/fundamentals/shared-responsibility
すべてのクラウド デプロイの種類において、データと ID はお客様が所有します。 お客様にはデータとID、オンプレミス リソース、お客様が制御するクラウド コンポーネント (サービスの種類によって異なります) を保護する責任があります。デプロイの種類に関係なく、次の責任はお客様が必ず負います。
• Data• エンドポイント• Account• アクセス管理
5 | © 2020 Palo Alto Networks, Inc. All rights reserved.
クラウドインシデントの特徴
“2022年までに起こるクラウドでのセキュリティ事故の95%はユーザー起因によるもの” ‒ ガートナー
設定ミスの危険性
• 主な事例: Deep Root Analytics, FedEx, Under Armour
• Redlockによる調査結果: 平均で51%の組織が最低でも一つ以上のストレージの一般公開による情報漏洩の可能性を経験
51%
アカウント情報の漏洩
• 主な事例: Uber, OneLogin, Tesla, Aviva, Gemalto
• Redlockによる調査結果: 平均で27%の組織でアカウント情報の漏洩を経験
27%仮想通貨マイニング
• 主な事例: Tesla, Gemalto, Aviva
• Redlockによる調査結果:平均で25%の組織が仮想通貨マイニングの被害を経験
25%
脆弱性
• 主な事例: MongoDB, Elasticsearch, Intel, Drupal
• Redlockによる調査結果: 24%の組織でパブリッククラウド上のホストへの最大深刻度のパッチ未適用
24%
SaaSアプリケーションにおいても同様の懸念が発生
Prisma: あらゆるクラウド環境をセキュアに
拠点/店舗本社 モバイル
セキュリティサービスSecurity Service Layer
接続サービスConnectivity Layer
SaaSPublic CloudData Center Internet
1. Prisma Cloud
2. Prisma SaaS
3.Prisma Access
6 | © 2020 Palo Alto Networks, Inc. All rights reserved.
クラウドサービスによって異なるセキュリティ対策
• Prisma SaaS (SaaS対策)• ファイル分類、リスクの可視化
• 情報漏洩対策• DLP
• 共有設定の可視化・制御
• マルウェア検知・隔離
• ユーザーアクティビティ解析
• SaaSへの通信の可視化とアクセス制御
• Prisma Cloud (PaaS/IaaS対策)• クラウド内部リソースの可視化
• 誤設定や設定漏れの検知・修復
• リソースの構成情報と変更履歴の保持
• ユーザの振る舞い分析とアラート・通知
• 外部からの攻撃の検知
• コンプライアンス(NIST/PCI DSS等)監査
SaaS PaaS/IaaS
7 | © 2020 Palo Alto Networks, Inc. All rights reserved.
SaaS利用に潜む様々なリスク
SaaS 個⼈メール
u メール転送設定で個⼈メールへ転送
SaaS
u 短期間でのファイルの⼤量ダウンロード
u 機密情報が含まれるファイルなどを外部共有
u フォルダにマルウェアファイルを保存・拡散
SaaS
8 | © 2020 Palo Alto Networks, Inc. All rights reserved.
可視化
コンプライアンス
データセキュリティ
脅威防御
クラウド利用の現状を把握許可されたITやシャドーITの実態を可視化により把握する
クラウドサービスを管理された状態にするこれにより、コンプライアンス要件を満たしていく
既存のテクノロジ(DLP等)と連携し、データ保護、脅威防御を実現しセキュアなデータ活用を促進する
クラウドサービスのライフサイクル全体を支援する
CASBの主要機能
9 | © 2020 Palo Alto Networks, Inc. All rights reserved.
パロアルトネットワークスのSaaSセキュリティ対応
Prisma Access(次世代FW) Prisma SaaS
可視化SaaS アプリの利用量および統計
アクセス制御SaaS アプリ単位のアクセス制御
データガバナンスDLPおよび脅威防御
10 | © 2020 Palo Alto Networks, Inc. All rights reserved.
SaaSセキュリティの包括的なアプローチ
リモートユーザー
支社・拠点
本社
管理外端末
管理下端末
Prisma Access
次世代ファイアウォール
Prisma SaaSAPI
許可
条件付き許可
禁止(シャドーIT)
複数のSaaS横断で、利用状況やリスクを可視化・モニタリン
グし、データを保護
各SaaSアプリに対する通信の可視化と、
段階的なアクセス制御
11 | © 2020 Palo Alto Networks, Inc. All rights reserved.
Prisma SaaSの対応領域
Prisma Access (次世代FW)の対応領域
(参考) 次世代FW SaaSアプリ アクティビティ レポーティング(可視化・制御)いつ誰が何のアプリにアクセスしたか、また許可されてないアプリへの通信をブロックしたなどの情報を一元管理
12 | © 2020 Palo Alto Networks, Inc. All rights reserved.
Prisma SaaS 概要
SaaS
API連携
WildFire(サンドボックス)
BYOD
モバイル端末
社内端末
機械学習によるファイル分類
WildFireでマルウェア解析
コンテンツの検査と解析
データ公開制御
マルウェア対策
情報漏洩対策(情報解析・分類、共有制御、アクティビティ監視)
API連携の為、クライアントモジュールなどの配備も必要なく、SaaS利用者に影響を与えず導入・管理が可能
PrismaSaaS
13 | © 2020 Palo Alto Networks, Inc. All rights reserved.
• 簡易で負担の少ない導入• SaaSアプリケーションにAPIを介して接続
• 特定の機器などは不要
• APIを使ったSaaS間でのコミュニケーション• 脅威、データ、出現頻度に基づくリスクの計算と可視化
• SaaS上のファイルをWildFire連携で検査
• 機械学習によるデータ分類が可能でキーワード,正規表現などに基づいた詳細なコンテンツ検査
• エンドユーザー通知、検疫などによりリスクを軽減
Prisma SaaSの特徴
14 | © 2020 Palo Alto Networks, Inc. All rights reserved.
サポートアプリケーションとライセンス
Citrix Sharefile
Gmail
Dropbox
https://docs.paloaltonetworks.com/prisma/prisma-saas/prisma-saas-admin/secure-cloud-apps/supported-saas-applications
• 全てのSaaSアプリを利用可能な年間サブスクリプションライセンス• ユーザ数単位で課金(最小利用ユーザ数は250)
15 | © 2020 Palo Alto Networks, Inc. All rights reserved.
16 | © 2020 Palo Alto Networks, Inc. All rights reserved.
各アプリケーションの検査項目
SaaS種別 説明
・S3バケットのファイル情報をスキャン
・AWS内リソースの公開状況を検査・パスワード強度や複雑性を検査
・フォルダやファイル情報をスキャン
・共有ファイル情報やメッセージデータをスキャン
・フォルダやファイル情報をスキャンCitrix Sharefile
SaaS種別 説明
・ページ情報や添付データをスキャン
・フォルダやファイル情報をスキャン
・ソースコードを含むすべてのファイル情報をスキャン
・メールのコンテンツ情報や添付データをスキャン・メールの転送設定を検査
・プロジェクト、バケット、およびファイル情報をスキャン
Dropbox
Gmail
17 | © 2020 Palo Alto Networks, Inc. All rights reserved.
各アプリケーションの検査項目 (Con’t)
SaaS種別 説明
・フォルダやファイル情報をスキャン(マイドライブと共有ドライブ双方をサポート)
・サードパーティのアプリケーションをスキャン
・各種メッセージ情報、およびファイル情報やコメント等をスキャン
・ストレージアカウントやファイル情報をスキャン・アクティビティモニタリングを実施
・メールのコンテンツ情報や添付データをスキャン・メールの保存期間や転送設定を検査
SaaS種別 説明
・OneDriveやSharePoint内のフォルダやファイル情報をスキャン
・構造化データと非構造化データのメタデータやファイル情報をスキャン
・メッセージや添付ファイル情報をスキャン
・テーブル情報および添付ファイル情報をスキャン
・Post情報やコメント、ファイル情報をスキャン
・メッセージや添付ファイル情報をスキャン
18 | © 2020 Palo Alto Networks, Inc. All rights reserved.
Prisma SaaS 機能概要
● SaaS内のアクティビティを完全に可視化:詳細な分析機能により、IT 担当者はユーザー、フォルダ、ファイル別の完全なアクティビティ履歴を確認することが可能
● データ流出を遡及的に監査:Prisma SaaS は SaaS 内で発生したデータ漏洩や違反をアカウントの作成日にまで遡って発見することが可能
● 高リスクの動作を危害が及ぶ前に把握:アクティビティの詳細な分析を毎日実施できるため、IT 担当者はデータリスクやコンプライアンス ポリシー違反の有無をいち早く見極めることが可能
● 詳細で効果的なポリシー管理を施行:コンテキストに応じたポリシー管理により、違反行為を発見してすぐにユーザーやデータを隔離することが可能
● 脅威からの保護:高度な脅威防御機能により、既知のマルウェアだけでなく、未知のマルウェアも特定してブロックすることが可能
Prisma SaaS でできること (1)
● アセットの識別○ 以下の情報からアセットを識別して、リスクや重要度の観点等から、様々なカテゴリに分類することが可能
■ ファイルのプロパティ情報(ファイル名 等)■ ファイルのデータパターン(正規表現で記載)
● ポリシーによる制御○ データパターンやファイルのプロパティ情報、またクラウドアプリの種別や公開レベル等を条件としてポリシーを作成可能
○ 条件にHitしたアセットに対して、以下のアクションを自動で取るよう設定できる■ 隔離 / 共有の変更 / ファイル所有者に通知 / 管理者アラートの作成 / インシデントの作成
○ 上記以外にも、ユーザのアクティビティや、コンプライアンスの観点からポリシーを作成し、Hitした場合にインシデントを作成することが可能
19 | © 2020 Palo Alto Networks, Inc. All rights reserved.
分類コンテンツタイプ
個⼈情報︓マイナンバー、企業番号、⽶国社会保障番号 など
知的財産︓RSAプライベート鍵、企業機密情報、ソースコード など
マルウェア検知︓WildFire(サンドボックス)と連携し、マルウェアの検知を実施
財務情報︓クレジット番号、銀⾏アカウント番号 など
ヘルスケア︓医療⽂書に関する機密情報 など
法律︓特許、業務契約、M&A情報、訴訟情報 など
20 | © 2020 Palo Alto Networks, Inc. All rights reserved.
Prisma SaaS でできること (2)
● コンテンツの調査○ ポリシーや公開レベルだけではなく、所有者、作成者、ドメイン、ファイルタイプ等の情報からコンテンツを検索することが可能
● インシデント確認○ 設定したポリシーにHitした場合や、WildFireでマルウェアと判定された場合等にインシデントが作成される
○ 発生したインシデントについて詳細情報を確認し、必要に応じて、隔離等のアクションを手動で実施可能
● 各種レポート機能の活用○ SaaSリスク評価レポートやコンプライアンスレポートにより、リスクとコンプライアンス双方の観点から、クラウドアプリの使用状況を監査することが可能
21 | © 2020 Palo Alto Networks, Inc. All rights reserved.
Demo
23 | © 2020 Palo Alto Networks, Inc. All rights reserved.
ダッシュボード
● Prisma SaaSは、最初にアプリケーションに接続すると、アプリケーション内のすべてのアセットをスキャンし、ポリシールールと照合してインシデントを遡及的に発見し、すべてのアクティブなインシデントをダッシュボードに表示します。
ダッシュボード (1)
External
パブリックリンク等で誰でもアクセス可能な状態
社内の誰でもアクセス可能な状態
社外の人間とアセットを共有
Internal所有者が未共有、社内の特定ユーザーと共有
Public
Company
アセット
24 | © 2020 Palo Alto Networks, Inc. All rights reserved.
ダッシュボード (2)
• データのコンテンツ内容から該当するカテゴリーを判別
• データパターンは事前定義されているが、カスタムで追加編集も可能
• 判別内容から6つのコンテンツタイプに分類
Data Profiles
25 | © 2020 Palo Alto Networks, Inc. All rights reserved.
ダッシュボード (3)
• インシデントおよびポリシー違反のトリガーとなるポリシーを設定し、その内容に基づいて発生したインシデントを管理
• ポリシーは以下の3種類を設定可能- Asset Rules : データパターン等のコンテンツに基づくルール
- User Activity Rules : 大量のファイルダウンロード等のユーザ動作に基づくルール
- Security Control Rules : パスワード強度やメールの転送設定等の監視するクラウドアプリの各種設定に基づくルール
インシデント(ポリシー違反)
26 | © 2020 Palo Alto Networks, Inc. All rights reserved.
ダッシュボード (4)
• ユーザ毎のアセット数を確認可能
• 以下の3つの観点からユーザ単位で使用状況をソートし、確認することも可能- アセット数- パブリックアセット数- インシデント数
ユーザ
27 | © 2020 Palo Alto Networks, Inc. All rights reserved.
登録済みSaaSアプリケーションの確認スキャン対象のクラウド
アプリを確認
28 | © 2020 Palo Alto Networks, Inc. All rights reserved.
29 | © 2020 Palo Alto Networks, Inc. All rights reserved.
ポリシーによる制御
● Prisma SaaSポリシーは、ユーザーの行動の追跡を行い、SaaSおよびIaaSアプリケーションの使用に関連するリスクを最小限に抑えることを目的としています。
● Prisma SaaSポリシーを使用すると、アセット(ファイルまたはその他のデータ)が責任ある使用がなされているかを監視し、無差別または不注意な共有などの人為的エラーによって引き起こされるマルウェア、マルウェアの伝播、規制違反、およびデータ漏洩から保護できます。
● Prisma SaaSは、ポリシー違反を検出すると、マルウェア、セキュリティ違反、またはコンプライアンス違反に関連するアクティブなインシデントを通知するアラートを生成します。
● 設定によって、インシデントを修正するための自動アクションを実行することも可能です。
ポリシーによる制御
インシデントの重大度を設定
ルール名を設定
ルールの説明を追加
30 | © 2020 Palo Alto Networks, Inc. All rights reserved.
ポリシーによる制御 (Con’t)
一致条件としてデータパターンを指定
一致条件として公開レベルを指定
アセット検出時のアクションを指定
アセット検出時にアラートやインシデントを作成
31 | © 2020 Palo Alto Networks, Inc. All rights reserved.
データパターンの設定
正規表現でデータパターンを定義
32 | © 2020 Palo Alto Networks, Inc. All rights reserved.
33 | © 2020 Palo Alto Networks, Inc. All rights reserved.
コンテンツの調査
● Prisma SaaSは、管理対象SaaSアプリケーションのすべての資産を可視化します。● 検索機能によって、最も重要なインシデントを見つけるのに役立つ、以下のようなビューを提供します。○ ユーザー毎のインシデントを表示して、特定のユーザー(または外部の共同編集者)が誤用の履歴を持っているかどうかを判断します。
○ 特定のファイルタイプのすべてのインシデントを表示します。○ 修正プロセスを簡素化し、ポリシーを微調整する必要があるかどうかを判断します。たとえば、外部公開によるPII違反の発見、管理者への問題の割り当て、所有者へのメール送信を、1つの合理化されたワークフローで行うことができます。
コンテンツの調査
任意の期間を指定
接続済みのクラウドアプリを指定
Hitしたポリシールールを指定
アセットの公開レベルを指定
34 | © 2020 Palo Alto Networks, Inc. All rights reserved.
35 | © 2020 Palo Alto Networks, Inc. All rights reserved.
インシデントの調査● Prisma SaaSは、デフォルトのポリシールールおよび定義したカスタムルールに対するアセットルールまたはセキュリティコントロールルールの違反を検出すると、インシデントを生成します。
● 管理対象SaaSアプリケーションのすべてのアセットをスキャンしてインシデントを検出し、ファイルとフォルダーのメタデータ、関連する共同編集者、およびファイルのコンテンツをアクティブなポリシールールまたは構成と照合します。
● インシデント毎に、それが規制の違反を示しているかどうか、またはそれが専有データまたは知的財産のセキュリティを侵害しているかどうかを判断できます。○ 例1:3ヶ月間ローテーションされていないAWSキー○ 例2:WildFireがマルウェアに分類したファイル○ 例3:複雑さの最小要件を満たしていないパスワード○ 例4:外部ユーザーと共有する、またはパブリックリンクを含む機密データ(クレジットカードや社会保障番
号、秘密のコード名、ソースコードなど)を含むドキュメントまたはフォルダー○ 例5:ユーザーが外部ドメインまたは共同編集者と共有したアセット、またはパブリックリンクまたはバニテ
ィURLを介して直接アクセスできるアセット○ 例6:機密データを含む企業の電子メールを個人の電子メールドメインに転送
インシデントの調査
インシデントリストより、当該インシデントに関する下記の情報を確認可能・ 重大度 /日付 / クラウドアプリ / アイテム名 / 所有者 /
Hitルール / 担当者 / ステータス / 前回の日付当該リストのアイテム名をクリックし、より詳細な情報を確認することも可能
Click!
36 | © 2020 Palo Alto Networks, Inc. All rights reserved.
インシデントの調査 (Con’t)
WildFireレポートを表示
37 | © 2020 Palo Alto Networks, Inc. All rights reserved.
レポート
● Prisma SaaSに関するレポートを生成して、ポリシー違反を事前に特定し、個人データを公開し、コンプライアンスの状態を判断できます。
● SaaSリスク評価レポート○ ネットワーク上のクラウドアプリのセキュリティ状況を共有できます。
● GDPRレポート○ コンプライアンス違反の可能性に関する洞察を提供します。
38 | © 2020 Palo Alto Networks, Inc. All rights reserved.
コンプライアンスレポート(GDPR)
コンプライアンスレポート(GDPR)を作成
39 | © 2020 Palo Alto Networks, Inc. All rights reserved.
SaaSリスク評価レポート
任意のタイミングでレポートを作成可能
40 | © 2020 Palo Alto Networks, Inc. All rights reserved.
SaaSリスク評価レポート (Con’t)
41 | © 2020 Palo Alto Networks, Inc. All rights reserved.
他社CASB製品の課題 (プロキシ or エージェント型) ● 端末/サーバ側への導入構成が複雑(PAC/VPNエージェント導入)● クラウドプロキシ製品の組合せが困難● オペレーションコストの増加
条件付き許可
禁止
リモートユーザ
オンプレユーザ ログ転送
トラフィック転送
ADコネクタ
PACファイル / VPNエージェント導入
Pacファイル
クラウドプロキシ
クラウドプロキシ
Sanctioned
42 | © 2020 Palo Alto Networks, Inc. All rights reserved.
条件付き許可
禁止
リモートユーザ
オンプレユーザ ログ転送
トラフィック転送
ADコネクタ
PACファイル / VPNエージェント導入
Pacファイル
クラウドプロキシ
クラウドプロキシ
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
������
������ ����
���� ���
AD���
Pac���� /VPN��������
Pac����
Sanctioned
他社CASB製品の課題 (プロキシ or エージェント型) ● 端末/サーバ側への導入構成が複雑(PAC/VPNエージェント導入)● クラウドプロキシ製品の組合せが困難● オペレーションコストの増加
43 | © 2020 Palo Alto Networks, Inc. All rights reserved.
44 | © 2020 Palo Alto Networks, Inc. All rights reserved.
まとめ
● CASBの導入はお客様の運用負担増となる○ PACファイル、エージェントソフト等の配布、インストール負担が発生○ クラウドプロキシ製品同士の併用が困難
● 次世代FW+Prisma SaaSは顧客環境における運用負担なし○ インストール作業不要、運用コストの削減○ APIベースの動作により他社クラウドプロキシとも併用可能
追加のCASB = 運用負担増次世代FW+Prisma SaaS = 運用負担低減
Thank you
paloaltonetworks.com
(参考)新しい会社ロゴ、新しいブランド(Strata)を発表
・PAシリーズ・PA-VMシリーズ
・旧GPCS → PRISMA ACCESS・旧RedLock → PRISMA CLOUD・旧Aperture → PRISMA SAAS
・旧Traps → Cortex XDR Prevent・旧CORTEX XDR → Cortex XDR PRO per Endpoint・旧Magnifier → Cortex XDR PRO per TB・旧Demisto → Cortex XSOAR
Securethe
Enterprise
SecuretheCloud
SecuretheFuture
旧ロゴ
47 | © 2020 Palo Alto Networks, Inc. All rights reserved.
(参考)クラウドセキュリティのテーマと関連製品
48 | © 2020 Palo Alto Networks, Inc. All rights reserved.
テーマ ユースケースPrismaAccess
PrismaPublic Cloud
PrismaSaaS
その他の関連製品
モバイルセキュリティ● モバイルセキュリティ(働き⽅改⾰)● BYODセキュリティ● リモートVPNやプロキシの撤廃
◉ PA-Series、VM-Series
拠点セキュリティ● MPLSの負荷軽減/撤廃● SD-WANソリューションとの併⽤● 海外含む拠点のFW機器撤廃
◉ PA-Series、VM-Series
ゼロトラストクラウドセキュリティ
● プロキシ/CASBの更改● ゼロトラストイニシアチブ ◉ ● ●
クラウドガバナンス&コンプライアンス
● 環境横断でのアセット/設定管理● GDPR等の各種規制対応 ◉ ◉ VM-Series
クラウドデータ保護 ● クラウド上の情報漏洩防⽌ ◉ ◉
クラウド脅威防御● セグメンテーションと脅威防御● クラウドのホスト/ネットワーク保護● セキュリティ調査の迅速化
◉ VM-Series、Traps
DevOpsセキュリティ● コンテナイメージの脆弱性スキャン● IaCセキュリティ● CI/CDパイプラインの継続的監視
◉ VM-SeriesTwistlock、PureSec
49 | © 2020 Palo Alto Networks, Inc. All rights reserved.
(参考)Prismaによる包括的なクラウドセキュリティ
FWaaS(Firewall-as-a-
Service)
セキュアWebゲートウェイ
クラウド態勢管理CSPM
(Cloud Security Posture Management)
CASB(Cloud Access Security
Broker)
クラウドワークロード保護
CWP(Cloud Workload
Protection)
SDP(Software-
Defined Perimeter)
仮想ファイアウォール