203h20170919 nwsecurity morimoto 0.3.pptx)...監視、モニタ、変更、リリース実行...

© 2013 IBM Corporation

Design of Infrastructure of “as a service”

サービスプラットフォームのネットワークとセキュリティ

Sachiko Morimoto, Thought Leader, GTS, IBM Japan

September 2017



サービスプラットフォームのインフラ

� インターネットを中心としたデジタルビジネスインフラストラクチャ

� As a Service インフラがサービスプラットフォームを実現する

� インターネットに開いたアーキテクチャのデータセンター

© 201６ IBM Corporation

IoT

企業ＩＴインフラ企業ＩＴインフラ企業ＩＴインフラ企業ＩＴインフラ

As a Serviceののののデジタルビジネスデジタルビジネスデジタルビジネスデジタルビジネスクラウドクラウドクラウドクラウド

サイバー・フィジカルサイバー・フィジカルサイバー・フィジカルサイバー・フィジカルIoT

サービスプラットフォーム SDEから自動化へ

ゼロ・トラストセキュリティ物理と仮想の接続・

モデル化

インターネット上で分散したユーザとサービスを接続し、ビジネスを⾏うためのプラットフォームがデジタルビジネスで活用されている。変更への迅速な対応と、仮想化世界を制御する技術が必要となっている。クラウドにより充実してきたxaaSのインフラ技術・システムの整備はデジタルビジネスを支援する環境の基礎となっている。

インターネットを中心としたデジタルビジネスインフラストラクチャ

インターネットインターネットインターネットインターネット


作り手作り手作り手作り手買い手買い手買い手買い手

提供者提供者提供者提供者

3


ITプラットフォーム

As a Service インフラがサービスプラットフォームを実現する

クラウドコンピューティング環境がIaaS, PaaS、SaaSの基礎を提供した。SaaSやPaaSがデータの交換、フィードバックの環境を提供し、サービスプラットフォームによる付加価値の創造を進化させた。変更や運用の⾃動化も達成されることで、サービスの更改と拡張のスピードアップが達成されている。

IT Service Management

監視、モニタ、変更、リリース実行監視、モニタ、変更、リリース実行監視、モニタ、変更、リリース実行監視、モニタ、変更、リリース実行

ＩＴインフラＩＴインフラＩＴインフラＩＴインフラサーバー、ストレージ、ネットワークサーバー、ストレージ、ネットワークサーバー、ストレージ、ネットワークサーバー、ストレージ、ネットワーク

ソフトウェア機能ソフトウェア機能ソフトウェア機能ソフトウェア機能SWフレームワーク、共通機能フレームワーク、共通機能フレームワーク、共通機能フレームワーク、共通機能

ビジネスプロセスビジネスプロセスビジネスプロセスビジネスプロセスアプリケーションアプリケーションアプリケーションアプリケーション

Internet，，，，コグニティブ、コグニティブ、コグニティブ、コグニティブ、IoT,..

IaaS

PaaS

SaaSオープン

Software Defined

自動化

オーケストレーション

コード化

物理の仮想化

セキュリティ




サービスプラットフォームが求めるアジリティと分析機能への拡張性、インフラのフィードバック性を実現する

・学習と実装のサイクルの高速化・小さなリリースの繰り返し

サービスプラットフォーム

インフラの機能・特性

4


IBM Watson

Data Lake

Client Insight Dashboards

ITaaS Environment

Client Workloads

Composable Services

Traditional IT Private Cloud Public Cloud

Design

Optimize

Manage

変化し続けるビジネス・ニーズに対応するためお客様のITaaS環境をアジャイルに組み⽴てます：

互換性があり組み合わせ可能なサービスをカタログ化しますIBM及びエコシステム・パートナーから提供される各種オファリングを素早く取り込み、共通機能を最大限に活用可能

適切なサービスの組み合わせをシームレスに統合し、スケールしますご要件に沿ったビジネス成果の実現

エンド・ツー・エンドでの管理・統制を実現します資産の無駄を排除

三つの目的に向けてWatsonは注⼒し、お客様の環境が常にオンであり、常にセキュアであり、常に改善し続けることを保証します：

優れたITソリューションのデザインより迅速かつ効果的にビジネス成果を引き出すため

ITオペレーションの管理環境が常に正常な状態で安定稼働するため

ITパフォーマンスの最適化ビジネス・アウトプットを継続的に改善するため

IBM Service Platform with Watson

5


第一世代スペース

（不動産）

第二世代パワー

（電気と空調）

第三世代コミュニケーション

（通信回線）

第四世代サービスの相互接続

（クラウドサービス）

冗⻑化賃貸料災害対策設備コスト

高集積化発熱対策

IPネットワーク回線接続

インターネットクラウドサービス

クラウドサービス事業者

クラウドサービス事業者

インターネット

接続事業

IX相互接続クラウド

サービス事業者

⾃社データ

センター

高付加価値化

インターネットに開いたアーキテクチャのデータセンター

様々なクラウドサービスを接続するサービス・エクスチェンジを提供するエクイニクス




6



インターネット・ネットワーキングサービスプラットフォームのネットワークデザイン

� インターネット接続の戦略的変化

� Software Defined Networkから⾃動化へ


インターネットの形が変わる

Microsoft と Facebook が、大⻄洋に 160Tbps の海底ケーブルを敷設する！Marea のキャパシティは 160 Tbps (terabytes per second) であり、大⻄洋を横断する海底ケーブルとしては、これまでで最大級のものになる

Google FASTER⼆年の敷設期間をへて実用に2016年6月29日 Internet Watch容量60Tbpsの日米間海底ケーブル「FASTER」が完成、明日運用開始、KDDIやGoogleなど6社が建設http://internet.watch.impress.co.jp/docs/news/1007762.html

Microsoft-Facebook laying trans-Atlantic Internet line

May 27, 2016

http://www.straitstimes.com/tech/microsoft-facebook-laying-trans-atlantic-internet-line8


* Subject to available capacity

and network availability

Data center and Point of Presence

Planned data centers (not yet

available as of Nov 2014)

Network Point of Presence

India

China

Tokyo

Hong Kong

Singapore

Melbourne

Seattle

San Jose

Los Angeles

Mexico City

Chicago

Montreal

Brazil

New York City

Miami

LondonFrankfurt

Amsterdam

Paris

Sydney

Atlanta

Denver

Dallas

Houston

Toronto

Washington D.C.

� Key markets for expansion: Japan, India, China, Mexico1

� Data centers are subject to available capacity at time of order.

� Toronto and London data centers are equipped with dual redundant 10GigE networks; dual

redundant 1GigE networks are provided at other locations.

1Plans are subject to change without notice.

SoftLayer® data centers are located around the world,

and our global footprint is expanding to support even greater infrastructure access.

9


インターネットの専⽤⾼速道路〜インターネットオーバーレイ

国際専用線10Gbps

国際専用線10Gbps

例：シンガポール

例：日本国内例：米国国内

データセンター

この専用線設備が規模の経済となっている。インターネットの巨人たちが5年の月日をかけたインフラに

今から日本企業が追いつくには、どうするか？

国内インターネット

10

© 201６ IBM Corporation11

インターネット接続の管理は限界に。冗⻑化やオーバーレイが複雑化を招いている米国全土でインターネットサービスの途絶が発生米国全土でインターネットサービスの途絶が発生米国全土でインターネットサービスの途絶が発生米国全土でインターネットサービスの途絶が発生--BGPルーティングテーブルの巨大化ルーティングテーブルの巨大化ルーティングテーブルの巨大化ルーティングテーブルの巨大化ででででhttp://japan.zdnet.com/article/35052352/米国時間8月12日以降、インターネットの速度が十分に出ていないと感じていたり、一部のサイトが全く読み込まれない現象が発生し、米国や欧州のニュースサイトなどで騒ぎになっている。多くのTier1のインターネットサービスプロバイダー（ISP）や、さらにそうしたISPがサポートしている末端のISPは、技術的問題に直面しており、その結果、米国全土とカナダの一部地域ではインターネットサービスの状況が悪化している。インターネットのエンジニアリングやアーキテクチャの専

門団体である、北米ネットワークオペレーターズグループ（NANOG）のメーリングリストへの投稿によれば、「東部標準時8月12日午前4時〜5時頃から、複数のISPで大規模な問題が」生じているという。

Border Gateway Protocol（BGP）のルーティングテーブルが上限に達し、古いルータが機能しなくなっている。そのため、インターネットの一部にも影響が出ている。

ネットワーク障害でトラフィックが欧州から香港へ：こネットワーク障害でトラフィックが欧州から香港へ：こネットワーク障害でトラフィックが欧州から香港へ：こネットワーク障害でトラフィックが欧州から香港へ：これもヒューマン･エラー！れもヒューマン･エラー！れもヒューマン･エラー！れもヒューマン･エラー！https://agilecatcloud.com/2016/08/23/outage-that-

rerouted-european-traffic-to-asia-blamed-on-human-

error/

この月曜日 (6/20) に生じた、大規模なネットワークの障害により、WhatsApp／Reddit／CloudFlare／AWS と

いった多様なサービスに影響が生じた。それは、TeliaSonera のエンジニアが誤ってルータを設定し、Europe における大半のトラフィックを、Hong Kong ヘ向けて送信したことに原因があると、Register がレポートしている。このダウンタイムは、6月20日 12:10 UTC に始まったと、CloudFlareサイトのブログに掲載されている。このイン

ターネット･セキュリティとコンテンツ配信を提供するサービス･プロバイダーは、大量のデータ･パケットが、TeliaSonera のネットワーク上で失われたことを検出している。そして、CloudFlareは、13:43 UTC に問題への対処が実施され、UTC 14:22 に問題が解消したと述べている。


自⼒でのDNS運⽤は難しい。DDoSリフレクション

DNSサービス「サービス「サービス「サービス「Dyn」への大規模」への大規模」への大規模」への大規模DDoS攻撃、発信源は攻撃、発信源は攻撃、発信源は攻撃、発信源は10万台の万台の万台の万台のIoT機器機器機器機器2016/10/28

Michael Kan IDG News Service

DNSサービス事業者の米Dynが分散型サービス拒否（DDoS）攻撃を受けたことで発生した大規模なインターネット接続障害について、同社は現地時間2016年10月26

日、事態の経緯と調査結果の概要を公式ブログ記事で明らかにした。それによると、今回の接続障害は、推定10

万台のデバイスから受けたDDoS攻撃が原因で、デバイスの多くは、マルウエア「Mirai」に感染していた。

大手大手大手大手DNSプロバイダープロバイダープロバイダープロバイダーNS1に大規模なに大規模なに大規模なに大規模なDDoS攻撃、多くの攻撃、多くの攻撃、多くの攻撃、多くのウェブサイトがダウンウェブサイトがダウンウェブサイトがダウンウェブサイトがダウン

NS1の製品担当バイスプレジデントJonathan Lewis氏

は、「当社のネットワークは複数の地域で性能が低下し、米国と欧州で最も大きな影響を受けた」と電子メールでコメントした。ニューヨークに本社を置く同社は、Yelp

や、ウェブコミックサイトのXKDCなど、大量のトラ

フィックを生成するウェブサイトに対してサービスを提供している。NS1の顧客であるImgurは、今回の障害が原因で欧州の

ユーザーが影響を受けたことをツイートで認めた。セキュアID管理企業であるOneLoginも、16日に同社のユーザーに問題が発生したと述べている。

この日、多くのユーザーがこれらのサイトやサービスにアクセスできなかった。NS1の状況報告ページによれば、攻撃は東部夏時間の午前10時45分に始まった。同社は、今回の発展的な分散サービス妨害（DDoS）攻撃は、アジアや南北アメリカを含むほぼ世界中の地域に影響を及ぼしたと述べている。


� インターネット接続帯域の考え方� サービスプロバイダーとの契約帯域（サーバーが直接アクセスするAPI帯域）� CDNネットワークとのピアリング帯域（フロントエンドコンテンツとキャッシュ）� インターネットオーバーレイ（ローカルプロバイダー経由のユーザー帯域）

� データセンターロケーション� キャッシュネットワークやオーバーレイなどのピアリングポイントを意識する� 他のクラウドサービスとのハイブリッドなマッシュアップに対応する� キャリアのセキュアコネクションとの接続性を考慮する

� DNS, NTP, DHCPなどのインターネット基本サービス、BGPなどのルート情報を用いた冗⻑化� 常時攻撃にさらされる危険があり、素人の運用では限界がある� 複雑なピアリングやキャッシュネットワークの存在によりBGPオペレーターが高度化� インターネット・クラウドの基本サービスを最大限利用すること

13

インターネット・ネットワーク・デザイン


SDN以前のネットワーク（プライベート）

HypervisorvSwitch

Guest VM

VLAN XX

VLAN XX

HypervisorvSwitch

Guest VM

VLAN XXVLAN XX

HypervisorvSwitch

Guest VM

VLAN XXVLAN ZZ

物理サーバー

接続スイッチ

VLAN YY

VLAN ZZ

VLAN XX

複数VLANを接続（トランク接続）

Internet

Firewall Loadbalancer

VPN

WAN

ROUTER ROUTER

HypervisorvSwitch

Guest VM

VLAN 55VLAN 00

セキュリティ構造を決定する物理的な配線

テナント毎にVLAN発⾏

VLAN数は最大4096

爆発的なインスタンスの増加

別のデータセンターデータセンター

同じテナントでも違う

ネットワーク

物理ルーターによるIPネットワークの接続


SDN基本構成

VMwareSDN VｘｘｘｘLAN

Guest VM


Guest VM


Guest VM物理サーバー


Guest VM

別のデータセンターデータセンター

同じテナントで同じネットワーク

接続スイッチ

ROUTER ROUTER

WAN

離れたラック

IP IP IP IP

物理サーバー間はIPネットワーク通信のみ⾏う↓

物理ネットワークはサービスネットワークのVLAN構成を切り離し、単純なIPネットワークのみ管理する

ソフトウェアでエミュレートされたサービスネットワーク=SDN


SDNクラウドネットワーキング

VMw

are

SDN

VMw

are

SDN

Guest VM

Service Network(Virtual Eth)

VMw

are

SDN

Guest VM

VMw

are

SDN

VMw

are

SDN

Guest VM

VMw

are

SDN

VMware

SDN Vyatta

VMware

SDN Vyatta

Nearest IBM Cloud

DCPrimary PoP

(HKG)

Backup IBM Cloud DC

Secondary PoP(SGP)

(HKG) (DAL) (SJC)

CustomerWAN

ROUTERROUTER

• 地域や国をまたがった地域や国をまたがった地域や国をまたがった地域や国をまたがったNW インフラの混在しているとき、インフラの混在しているとき、インフラの混在しているとき、インフラの混在しているとき、SDNが物理的な管理運用のが物理的な管理運用のが物理的な管理運用のが物理的な管理運用の複雑性を解決複雑性を解決複雑性を解決複雑性を解決-クラウドサークラウドサークラウドサークラウドサービスのネットワーク上の制約ビスのネットワーク上の制約ビスのネットワーク上の制約ビスのネットワーク上の制約ををををSDNで解決で解決で解決で解決

• BYOIPの実現の実現の実現の実現: NSXととととVyattaによる仮想グローバによる仮想グローバによる仮想グローバによる仮想グローバルルルルSDNネットワークによるプネットワークによるプネットワークによるプネットワークによるプライベートアドレス空間の拡ライベートアドレス空間の拡ライベートアドレス空間の拡ライベートアドレス空間の拡張張張張

• VPNトンネルとダイナミックトンネルとダイナミックトンネルとダイナミックトンネルとダイナミックルーティングをサポートするルーティングをサポートするルーティングをサポートするルーティングをサポートすることによって安全且つ高可用ことによって安全且つ高可用ことによって安全且つ高可用ことによって安全且つ高可用性を備えたハイブリッドクラウ性を備えたハイブリッドクラウ性を備えたハイブリッドクラウ性を備えたハイブリッドクラウドセンターを構築することがドセンターを構築することがドセンターを構築することがドセンターを構築することが可能可能可能可能

• 地域に問わず、仮想クラウド地域に問わず、仮想クラウド地域に問わず、仮想クラウド地域に問わず、仮想クラウドデータセンターの自由度が高データセンターの自由度が高データセンターの自由度が高データセンターの自由度が高く、ビジネスの状況に応じたリく、ビジネスの状況に応じたリく、ビジネスの状況に応じたリく、ビジネスの状況に応じたリソースの移動と配置を素早くソースの移動と配置を素早くソースの移動と配置を素早くソースの移動と配置を素早く対応できる対応できる対応できる対応できる

BYOIP: Bring Your Own IP address

Bluemix Infrastructure

物理ネットワークはなんでもOKです。Bluemix Infrastructureのバックボーンネットワークを利用することもできる。


BlueBox ネットワーク BYOIP構成

Bare Metal

KVM

OVS

Compute

Node

Bare Metal

KVM

OVS

Compute

Node

Bare Metal

KVM

OVS

Compute

Node

FWaaS

Neutron Server

Bare Metal

Horizon

LBaaS

Bare Metal

KVM

OVS

Guest VMGuest VM Guest VM Guest VM

Customer Gateway(Vyatta Router/Firewall)

Customer Gateway(Vyatta Router/Firewall)

OpenStack SDN

BYOIPCustomerPrivate IP

SL DC

10G

Linux Bridge

Controller/Network

Node

Compute

Node

VPNaaSDHCP AgentL3 Agent

SL AssignedIP

Vyatta 仮想ルータをBlueBoxネットワークに配置し、GREトンネルでユーザIPアドレス

を通過させBYOIPを実現する

NAT CustomerRouter

VyattaRouter

GRETunnel

BYOIPのネットワークは、BlueBoxのHorizonから直接アクセスできなくなる。

VyattaによるNATや、お客様環境の運用管理形態が必要

CustomerPrivate IP

�BlueBox内のネットワークはユーザにより自由に選択できますが、BlueBox外との接続はインターネットまたはDirect接続の場合もSoftLayer/BlueBoxによって割り当てられるIPアドレスになります。

�お客様IPアドレス体系そのもので接続するには、GREトンネルなどを使って仮想接続する必要があります。

DirectLink

17


SDNによるクラウド環境と企業インフラの接続

お客様DCベアメタルオープンスタック

BYOIP

クラウドサービスの活用

ダイレクトリンク接続

クラウド環境とオンプレミス環境をBYOIPにより接続し、さらにSDN化によりネットワーク管理⾯の⼀⾯化を図る

インターネット接続

お客様DC

18


オーケストレーションと自動化への進化

MonitorEvent

KVM

Public Cloud #1

API

制御制御制御制御

クラウド・コンソールシステム・コンソール

SoftwareControl

モニタリング

構成自動化

性能管理

自動化

クラウドはサービスの基本機能としてオーケストレーション機能を備えている。監視やモニタなども機能化されている。構成管理ツールやAPIによるシステム構成・制御と、監視・モニタとの連携による⾃動化がインフラストラクチャ管理を⼿作業から解放し、更新回転の速いas a Serviceのデジタルビジネスの支援インフラとなる

• 構成標準化• ワークフロー

• Dynamic Sutomation⾃動化ロジック

• Infrastructure as Code• DevOps

オーケストレーションオーケストレーションオーケストレーションオーケストレーション構築、リリース自動化構築、リリース自動化構築、リリース自動化構築、リリース自動化

運用自動化運用自動化運用自動化運用自動化


NW構成管理ツール + API

20


サーバ構成管理ツール + NW

� サーバ構成管理ツールがNW機器に対応

21


業務サーバ

定期作業(スケジュール

登録)

サービス要求

監視アラート

Dynamic

Automation (DA)

コマンド発⾏

自動化のタイプ

監視アラート監視モニターを監視し、障害発生時にオペレーターが⾏う作業を代替する

定期作業(スケジュール登録)

定期的なチェック作業などの手作業を、定められた手順にて⾏う

サービス要求単純作業の依頼を受け取り、定められた手順にて作業を実施する

処理モード修復

(Remediation)障害の診断結果、自動修復を実施する（サービスのリスタート処置等）

分析・診断(Diagnosis)

修復する為のデータ収集を実施・報告し、修復実⾏はしない（⼈間の判断）

エスカレーション(Escalation)

情報の内容によりSEへエスカレーション（連絡）する

(Virtual Engineer)

予め自動化のLogic(Automata)を登録しておく

Dynamic Automation

� Dynamic Automationでは次の処理フローの⾃動化を実現します� 「障害アラートへの⾃動対応」「定期作業の⾃動化」「サービス要求への⾃動対応」

22



インターネットクラスのセキュリティゼロトラスト・ネットワークでシンプル化するネットワーク

� Zero Trust Security

� ゾーニングネットワークセキュリティの限界

� ゼロトラスト・ネットワークでシンプル化するネットワーク


境界集約型（FW）で予防し防御しても侵⼊や脅威は防げない。内部犯⾏も想定される。トラストモデルの破たん

ゼロ・トラストモデルネットワーク

Internetや外部とネットワーク接続する。Internetのサービスを利⽤する。外部と同じ端末を社内でも利⽤する。

信頼せず、検証し続けるゼロ・トラストセキュリティ

ゼロ・トラストセキュリティ


ゾーニング、IPアドレス主導のネットワーク構造の限界

The Internet

DMZ

DC

VPN

Firewall LB/SSL

Ext. Servers

Int. Servers

事業所

本社、研究所

� これまでのネットワーク– ゾーニングを中心にした

ネットワークセキュリティの限界• IPのフィルターの限界• IDS/IPS、ふるまい検知• 多層防御対応

– VPN装置経由のアクセス• VPN対応機種やバージョン管理• ID管理とVPN暗号強化• インターネットネイティブな

モバイルへのアプリケーション対応に必要性– 内部デバイスの管理強化

• 内部犯⾏、マルウェア対策社内といえども信じない

内部を信じるネットワークの限界– ゼロ・トラストネットワーク

25


単層的な侵入検知防御対策

検知機能を信頼する

Firewall

Alert監視

ゾーニング中心の考え方

重要データの暗号化

オペレータ性善説

HOST IDS

Database

DB Admin

これまでは

複雑化し増大するサーバーへの対応

検知しきれない巧妙な攻撃や侵入

原因追求が遅れて初動対応を誤る危険

内部犯⾏

多層防御

監視検知

重要情報保護

セキュリティインテリジェンス

データアクセスの監視

データベース操作の監視

DB管理者の監視管理

管理ログの保存

Security Operation

Center

サイバー脅威の分析チーム

セキュリティ運用初動対応

グレーなアラートの相関を総合的に判断

監査ログの保存

Firewall

IDS/IPS

WAF

多層的な監視

複数のシグニチャ

侵入・異常検知

侵入防御フィルタリング

SIEM

Security

Intelligence

IBM X-Force

DBA

Forensic

監視

IBMのZERO トラスト・セキュリティの考え方

26


ファイヤーウォールだけではない、監視とインテリジェンスが重要

The Internet

SPI Database

DB AAA

DB管理者の管理

DB管理者を信じない

すべてのアクセスログを保存• データアクセス• DB管理操作• 管理者の作業ログ

検知するイベント• DBログインの失敗• 機密データへのアクセス• テーブルの操作• DBアカウントの作成• 特権ユーザー権限の流出• …

• Signature Filtering• Anomaly Detection• WEB Injection• DDoS/Reflection

SIEM• 各種ログの相関分析• セキュリティインテリジェンス• チケットの発⾏業務

統合ユーザー管理

• 管理された許可操作

• サービスデスク• サービスマネジメント• チケット管理• セキュリティ対応

• Security Ops Center• Security Intelligence

• 管理された許可操作

27


NetFlowの機能を使って継続的な監視データ収集•ネットワーク内の全ての通信の追跡•スイッチ、ルーター、ファイアウォールなどネットワーク内の至る所でのデータ採取

•ネットワーク使用状況の把握•ユーザーからユーザーへの横の通信も可視化• SPANベースの大量データからの解析より少ないデータ量でトラフィック解析が可能

Flow 情報パケット送信元アドレス 10.1.8.3

宛先アドレス 172.168.134.2

送信元ポート 47321

宛先ポート 443

インターフェイス情報 Gi0/0/0

IP TOS情報 0x00

IPプロトコル情報 6

NEXT HOP 172.168.25.1

TCP FLAGS 0x1A

SOURCE SGT 100

: :

アプリケーション名 NBAR SECURE-HTTP

10.1.8.3

172.168.134.2

インターネット

ルータースイッチクライアント

サーバ

Network as a Sensor

ネットワーク機器をセキュリティーセンサーにする

NetFlowをセキュリティ監視に活⽤する


ゼロトラスト・ネットワークでシンプル化するネットワーク

The Internet

クラウドサービス

↑企業ごとの安全なアクセス

⼿段

ServiceExchange

↑Internetクラスの

防御

SecureConnect

DirectConnectFirewall

社内 ↗アプリアクセスWEB


事業所

本社、研究所

• 統合的なアクセス制御• ID管理、多要素認証• フラット化したイントラネット• クラウドサービスとの⼀体運営

イントラネット

情報資源

アクセス資源

↑Internetクラスの

防御

← Internetクラスの

← 防御

MDM/MAM

http://wired.jp/innovationinsights/post/technology/i/paradigmshift-to-zerotrust/

29


ZERO Trust Security ネットワーク・ソリューション

データ

事業継続戦略とビジョン

事業継続対応組織

被災時/復旧時業務プロセス

アプリケーション

IT基盤

施設、設備

認証・制御

マイグレーション

クラウド


検査・検疫

NWアクセス

クライアント

ネットワークアセスメント・コンサルティング

統合アクセス制御

NWデバイス認証

ふるまい検査・検疫ネットワーク

多層防御 / 監視検知 / セキュリティインテリジェンス＋重要情報の保護

エンドポイントプロテクション

クラウド接続ネットワーク

サーバ/ストレージ/クラウド移⾏

BluemixInfrastructure

ID管理

・端末の検査・隔離・トラフィックの検査・遮断

・コンプライアンス管理・MDM / MAM

・.1X認証(ユーザ/パスワード、証明書)・MAC認証・VPN認証

・LDAP・Active Directory


ZERO Trust Security ネットワーク・ソリューション

クラウドサービス

↑企業ごとの安全なアクセス

⼿段

ServiceExchange

↑Internetクラスの防御 Secure

ConnectDirectConnect

Firewall

社内 ↗アプリアクセスWEB


情報資源

アクセス資源

The Internet

本社、研究所

イントラネット

←Internetクラスの

←防御

事業所端末の検査違反端末の隔離

←Internetクラスの

←防御

MDMMAM

End Point Protection(BigFix / Maas360)(MaaS360 / BigFix)コンプライアンス

管理

サーバ移⾏ストレージ移⾏

マイグレーション

クラウド移⾏

クラウド接続Connectivity

VPN 認証.1X 認証

NWデバイス認証(ISE / AnyConnect)

MAC 認証

Switch

AP

ふるまい検査・検疫(Stealthwatch + ISE)

アクセス制御(ISE + TrustSec)

トラフィック検査不正通信の遮断

統合アクセス制御

LDAPActive Directory

ID管理

多層防御

監視検知

重要情報保護

セキュリティインテリジェンス

ServerStorage

• 統合的なアクセス制御• ID管理、多要素認証• フラット化したイントラネット• クラウドサービスとの一体運営


Design of Infrastructure of “as a service”Design of Infrastructure of “as a service”

IBM, IBMロゴ、ibm.comは世界の多くの国で登録されたInternational BusinessMachines Corp. の商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。

当資料をコピー等で複製することは、日本アイ・ビー・エム株式会社および執筆者の承認なしではできません。

203h20170919 nwsecurity morimoto 0.3.pptx)...監視、モニタ、変更、リリース実行...

Documents