kaspersky hybrid cloud securitykasperskylabs.jp/biz/ksv/presentation_kaspersky... · amazon ec2...
TRANSCRIPT
1
KasperskyHybrid Cloud Security
2020年4月20日株式会社カスペルスキーセールスエンジニアリング部
Kaspersky Hybrid Cloud Security クラウド環境と仮想環境向けソリューション
Kaspersky Security for Windows Server
Kaspersky Security for Virtualization
Kaspersky Endpoint Security for Linux
ひとつのライセンスでマルチアプリケーション
2
クラウド環境か仮想環境、またはその二つを保護するソリューション
役割 使用するアプリケーション
Kaspersky Hybrid Cloud
Security
仮想環境向けセキュリティ
Cloud 向けセキュリティAWS、Azure
Kaspersky Security Center and Integration Server
Kaspersky Security for VirtualizationAgentless(KSV AL)
Kaspersky Security Center with Cloud Configuration Wizard
Kaspersky Security for Windows Server
Kaspersky Security for Virtualization LightAgent(KSV LA)
Kaspersky Hybrid Cloud Security
Kaspersky Security for Linux
3
Kaspersky Endpoint Security for Windowsは含まれません。クライアントOSでの使用は、Kaspersky Security for Virtualizationを使用する構成のみとなります。
製品
KHCS ライセンス エディション別 機能表
KSC KSV LA
KSV AL KESL KSWS 機能
+ Cloud API integration+ + + + ファイルアンチウィルス+ + 脆弱性攻撃ブロック+ + + Firewall+ + + アンチクリプター (共有フォルダー対象)+ + + ネットワーク攻撃ブロック+ + + デバイス制御+ + + Web脅威保護
+ + トラフィックセキュリティ—メール脅威保護(Outlook plugin)
+ + トラフィックセキュリティ —Webコンテンツフィルター
+ + アプリケーション制御 (Default Deny) for Server
+ + + ファイルインテグリティ+ Log Inspection
+ IDS/IPS for VMware NSX
KHCS Enterprise
KHCS Standard
4
クラウド環境向けソリューション
5
6
モバイルデバイスサポートはアクティベートできません。
BYOL を選択する場合は、Kaspersky Security Center の料金を 、Azure Marketplace または AWS Marketplace で支払う必要なし。
AWS または Azure 環境で無料の設定済みイメージを 、BYOL(Bring Your Own License:ライセンス持ち込み)方式で導入。
クラウド環境での利用
Amazon Web Services、Microsoft Azure、および Google Cloud のクラウド環境でKaspersky Security Center を導入し、APIを利用した製品導入が可能。
クラウド環境で利用できるライセンスオプション
7
Cloud Configuration ウィザード
8
Cloud Configuration ウィザードとは
ウィザードでは、次のオブジェクトを作成• 既定の設定が指定されたネットワークエージェントポリシー• Kaspersky Endpoint Security for Linux のポリシー• Kaspersky Security for Windows Server のポリシー• インスタンス用の管理グループとインスタンスを自動的に管理グループに移動するためのルール• 管理サーバーデータのデータバックアップタスク• Linux と Windows を実行しているデバイスに保護をインストールするためのタスク• 各管理対象デバイスに対するタスク:
簡易ウイルススキャンアップデートのダウンロード
このウィザードを使用して Kaspersky Security Center を設定する場合に必要な項目AWS クラウド環境で使用する場合• クラウドセグメントをポーリングする権限が付与された IAM ロール• またはクラウドセグメントをポーリングする権限が付与された IAM ユーザーアカウント
Microsoft Azure クラウド環境で使用する場合• Azure アプリケーション ID パスワードとサブスクリプション
9
Cloud Polling
管理サーバーがクラウドセグメントのデバイスに関する情報を受信できるように、クラウドセグメントをポーリング
新しいインスタンスまたは仮想マシンが自動的に検出
Kaspersky Hybrid Cloud Security クラウド環境向け
Kaspersky Security Center は、AWS APIを使って Amazon EC2 インスタンスを操作Azure API を使って Azure 仮想マシンを操作
Kaspersky Security Center をAmazon EC2 インスタンスまたは Microsoft Azure 仮想マシンに導入して、
クラウド環境内のデバイスの保護を管理可能
Kaspersky Security Center; カスペルスキー製品を統合管理する管理サーバーアプリケーション
デプロイの自動化により、Auto Scalingに対応
一台から導入可能。ファイルインテグリティなど高度セキュリティも安価に導入可能
10
KSC Server + Amazon DRS
Amazon RDSMS SQL instance
KSC Server
KSC Server + Azure SQL
Azure SQL database
KSC Server
KSC Database configuration
AWS Relational Database Service
Cloud native database integration
11
12
Kaspersky Security Center 12 では次のシナリオをサポート
• クライアントデバイスが API によって検出され、製品のインストールも API によって実行される。AWS と Azure のクラウド環境では、このシナリオがサポートされる。
• クライアントデバイスが Google API によって検出され、製品のインストールが Kaspersky Security Center によって実行される。Google Cloud では、このシナリオのみがサポートされる。
• クライアントデバイスが Active Directory のポーリング、Windows ドメインのポーリング、IP アドレス範囲のポーリングのいずれかで検出され、製品のインストールが Kaspersky Security Center によって実行される。
Cloudインスタンスに対するアプリケーション自動インストール
13
AWS クラウド環境IAM ロールとEC2 インスタンスにインストールされている Systems Manager Agent により、Kaspersky Security Center は 管理者に毎回確認しなくても、デバイスおよびデバイスのグループに自動的にアプリケーションをインストールできる。
Microsoft Azure クラウド環境Azure 仮想マシンエージェントにより、自動インストール。Azure アプリケーション ID に次のロールが付与されている。
• Reader(ポーリングを使用して仮想マシンを検出するために必要)• Virtual Machine Contributor(仮想マシンに保護を導入するために必要)• SQL Server Contributor(Microsoft Azure 環境で SQL データベースを使用するために必要)
セキュリティアプリケーションインストール自動化KSCによる保護コンポーネントインストール
5分ごとのAWS polling 「常にインストール」
14
セキュリティアプリケーションインストール自動化スクリプトベース 遅延無し
AWS CloudFormation, PowerShell など automation tool
AWS Cloud Formation
Jenkins Octopus Deploy
15
EC2 インスタンス EC2 インスタンス
KSCサーバー
Virtual Private Cloud
Subnet
内部トラフィックに課金発生せず外側からのKSCポートへのアクセス権限が不要IAMロールを通じたAPI使用の自然な構成仮想マシンごとのライセンスお客様使用のライセンスが利用可能(ストアで購入する必要がない)
16
EC2 インスタンス EC2 インスタンス
KSCサーバー
Virtual Private Cloud
Subnet
KSCアウトバウンドトラフィックへの課金外側からのKSCポートへのアクセス権限API使用の自然な構成仮想マシンごとのライセンスお客様使用のライセンスが利用可能(ストアで購入する必要がない)
仮想マシン
オンプレミス
仮想マシン
17
EC2 インスタンス EC2 インスタンス
KSCサーバー(マスター またはスレーブ)
Virtual Private Cloud
Subnet
API使用の自然な構成クラウドからの最小限アウトバウンドトラフィックお客様使用のライセンスが利用可能(ストアで購入する必要がない)
KSCサーバー(マスター
またはスレーブ)
仮想マシン
オンプレミス
デメリットイベントデータベースの分断管理コンソールの分断
18
EC2 インスタンス EC2 インスタンス
KSCサーバー(マスター またはスレーブ)
Virtual Private Cloud
Subnet
KSCアウトバウンドトラフィックへの課金他クラウドとの統合に必要な設定仮想マシンごとのライセンスお客様使用のライセンスが利用可能(ストアで購入する必要がない)
仮想マシン
19
20
Systems hardeningFile Integrity Monitor
Application Control Default Deny
Firewall Management
Device Control
Multi-layered protection
Exploit Prevention Anti-Ransomware
Network Protection
KSN
Behavior Detection
File AV
File Integrity Monitor
Log Inspection
Continuous security: transparency and manageability
RBAC
Centralized management Azure Integration
Monitoring and Reports Account Management
Docker & Windows Server 2016 containers
HIPS
Kaspersky Lab CWPP components
仮想環境向けソリューション
21
Kaspersky Hybrid Cloud Security 仮想環境向け
Kaspersky Security for Virtualization には、2タイプのアプリケーションがある。
Kaspersky Security for Virtualization AgentlessESXi専用。データセンターなどで活用。Agentlessソリューションであるが、KSVではREDHATもサポート。Network Attack BlockerによるIPSも提供。
Kaspersky Security for Virtualization Light AgentESXi 以外のハイパーバイザーサポート。
(ESXi、Hyper-V、 XenServer、AHV など)特にVDI などセキュリティが重要な運用に最適なソリューション。CentOSもサポート。
22
Kaspersky Security for Virtualization Agentless
23
NSXマネージャー
vCenterKSCGuest
Introspectionサーバー
SVMGuest
Introspectionサーバー
SVM
ESXi ESXi ESXi
NSX Agentlessの仕組み
SVM = Security Virtual Machineファイルアンチウイルスにおいては、SVMの性能差がベンダーの差。
仮想VMの必要要件:• VMware Tools ( カスタムインストール )
- NSX Introspection Driver
24
NSXマネージャー
vCenterKSCGuest
Introspectionサーバー
SVMGuest
Introspectionサーバー
SVM
ESXi ESXi ESXi
マルウェア検知時の仮想マシン自動隔離(マイクロセグメンテーション)
隔離アクセス不可
NSXセキュリティタグ付与
マルウェア検知
25
• VMware Network Extensibility APIを使用した、
ネットワーク攻撃防御機能(IPS)を提供する仮想アプライアンス
• パケットレベルでのネットワーク攻撃をブロック
• 悪意のあるサイト、フィッシングサイトのURL判定、アクセスをブロック
• 通常のアンチウイルス製品では提供しないLinux OSに対するネットワーク攻撃にも対応
※NABによるネットワーク防御機能は、※NSX Advanced以上のライセンスが必要
Network Attack Blocker(NAB)- ネットワーク攻撃防御用 仮想アプライアンス -
26
Monitoring mode: ブロックせず、イベントログを管理サーバーに保存。Standard mode: ネットワークパケットを検査し、ブロック。
NABのブロック例o RDP bruteforcehttps://threats.kaspersky.com/en/?s=Bruteforce
WIN.MS17-010.* https://threats.kaspersky.com/en/threat/Intrusion.Win.MS17-010.*/WIN.NETAPI.BUFFER-OVERFLOW.EXPLOIT https://threats.kaspersky.com/en/threat/Intrusion.Win.NETAPI.buffer-overflow.exploit/
o DOS ICMP error exploit https://threats.kaspersky.com/en/threat/DoS.OSX.Yosemite.ICMP.Error.exploit/
Network Attack Blocker(NAB)- ネットワーク攻撃防御用 仮想アプライアンス -
27
Kaspersky Security for Virtualization Light Agent
28
名前の印象から誤解されがち
• Agentlessのように、SVMで集中処理。• ふるまい検知のような、ローカルでしか出来ない保護をエージェンで実行。
• VDIならば、マスターに導入するので、エージェントだからインストールが面倒ということはない
29
KSC VIIS
SVM
SVM
SVMVM
Hypervisors
AV scanUpdatesKSN
アンチルートキット
アプリケーション制御デバイス制御
Firewall
ネットワーク攻撃ブロック
ふるまい検知脆弱性攻撃ブロック
定義データベース更新
ファイル・URLレピュテーション
KSNSVM 冗長化
ファイルアンチウイルス
Webアンチウイルスメールアンチウイルス
SVM 情報
インフラストラクチャー情報
集中管理
ファイルインテグリティ
KSV light agent architecture
30
Kaspersky Hybrid Cloud Security Light Agentの構成
SVM SVM
ESXi ESXi
vCenterKSC
ESXi
NSXは必須ではない。サポートされるハイパーバイザー
ESXi、Hyper-V、XenServer、KVM、Nutanix AHV
31
Kaspersky Hybrid Cloud Security 冗長化
SVM SVM
ESXi ESXi
SVMが使用できなくなった場合、他のハイパーバイザー上のSVMに接続し、保護が続行される。
*エージェントレスでは、NSXの仕組みからサポートされない。
32
Kaspersky Security for Virtualization Light Agent
33
VDI サポート
VMware Horizonサポート
仮想デスクトップ展開 ユーザー割当方式流動割当(フローティング)をサポート。カスペルスキーネットワークエージェントの「VDI向けダイナミックモード」により、ランダム方式をサポート。
フルクローン、リンククローン、インスタントクローンをサポート
Light AgentではNSXコンポーネントを使用しないため、リンククローン使用時リコンポーズのオーバーヘッドが最小限。
34
[Citrix EdgeSight]、[Citrix Profile Manager]、[Citrix Provisioning Services]、[Citrix XenApp]、[Citrix XenDesktop]は、これらのアプリケーションのパフォーマンスを向上するため、既定でオンになっています。
Citrix環境に最適化
Citrixが推奨する除外設定を予め設定済み
35
XenDesktopサポート
仮想デスクトップ展開方式は、以下をサポートCitrix MCSCitrix Provisioning Services
デスクトップエクスペリエンスカスペルスキーネットワークエージェントの「VDI向けダイナミックモード」により、ランダム方式をサポート。
36
XenDesktopに最適化Citrix Provisioning Services 技術との互換性
Citrix XenDesktop のランダムカタログ。Citrix XenDesktop の Citrix Personal vDisk を使用した静的カタログ。Citrix XenDesktop のユーザーによる変更を保存しない静的カタログ。
このオプションでは、このテンプレートから作成された仮想マシンには、保護された仮想マシンを再起動する必要があるアップデートがインストールされません。
テンプレート
37
Automatic Exploit Prevention(AEP)
CVE-2019-0859脆弱性
AEPによるエクスプロイト防止
これらの5つのゼロディエクスプロイトは、Automatic Exploit Prevention テクノロジーによって、世界で初めて発見された。
AEPは Kaspersky Security for Virtualization Light Agentに含まれる
Delivery Memory 操作
エクスプロイト実行
Shell code 実行
Payload 実行
AEPによる検知とブロック
Light Agentが持つ高度なセキュリティ
謝意
2019年3月に、カスペルスキーのAEPとふるまい検知エンジンが、マイクロソフトの脆弱性を突こうとするエクスプロイトを検知
38
Kaspersky Security for Virtualization Light Agent 5.1 新機能
• HTTPSトラフィックをネットワークレベルでスキャン
• VMware NSX Tagに対応従来、エージェントレスのみが実現していたNSX連携を実現。マルウェア検知時のisolationが可能。*有償版NSX使用時のみ。
現在WebサイトのほとんどがHTTPSとなっています。マルウェアがホストされている改ざんWebサイトも、悪意のあるWebサイトも同じです。HTTPSに対応したことにより早い段階で検知が可能になります。
Kaspersky Security for Virtualization Light Agent 5.1 新機能
• サーバーOSでのふるまい検知サポート
• Linux クイックスキャンブートセクター、メモリー、プロセス、スタートアップオブジェクトのようなクリティカル領域をスキャン。
インスタントクローンKaspersky Security for Virtualization Light Agent
41
VMware Horizonのクローン方式• 下記3種類のクローン方式がある。インスタントクローンは、Horizon 7で実装された新機能。
1.フルクローン
2.リンククローン
差分ディスク
差分ディスク
3.インスタントクローン
仮想デスクトップはマスターVMのディスク情報を全てコピーして作成。
差分ディスク+ メモリ
差分ディスク+ メモリ
マスター
マスター
マスター
レプリカ
テンプレートレプリカペアレント
Composerサーバーで提供。仮想デスクトップは、マスターVMのディスク情報を全てコピーしたレプリカVMと差分ディスクで作成
Horizon 7の新機能。リンククローンの特徴に加え、メモリも差分管理することで、高速展開が可能。
42
• View Composer によるプロビジョニングに含まれる一部のステップを排除・短縮。• インスタントクローンではデスクトップを使用可能状態にするまでの時間を大幅に短縮
インスタントクローンのデプロイフロー
クローン / vmFork
クローン 再構成 パワーオン カスタマイズチェックポイント パワーオン ユーザ
ログオン
■ リンククローン(View Composer)によるクローンの流れ
■ インスタントクローンによるクローンの流れ
使用可能 ログオン完了
パワーオン カスタマイズユーザログオン
使用可能 ログオン完了
vCenter の Call View Composer インスタントクローン
クローニング 1 回のクローン call 1 回の vmFork call
パワーサイクル 2 回のパワーサイクル call なし
再構成 3-4 回の再構成 call なし
vCenter の負荷 高 低
43
Kaspersky Hybrid Cloud Security 構成例
46
HCI
Hypervisor(2CPU X 3)
仮想マシン
構成パターン
ライセンスの考え方① CPUライセンスの場合
HypervisorのCPU数合計で計算。(例では6CPU)
② サーバーライセンスまたはデスクトップライセンスの場合仮想マシン数合計で計算。
アプリケーションの構成パターン① KSV Agentlessで構成。② KSV Light Agentで構成。③ KES10 for LinuxとKaspersky Security for Windows Serverで構成。
Redhat Windows Server
47
Hypervisor(8CPU)
仮想マシン
CentOSRedhat構成パターン
ライセンスの考え方① CPUライセンスの場合
HypervisorのCPU数合計で計算。(例では8CPU)
② サーバーライセンスの場合仮想マシン数合計で計算。
アプリケーションの構成パターン① CentOSがKSV Agentlessのシステム要件外のため、KSV Light Agentで構成。
② RedhatをKSV Agentlessで構成。CentOSにはKES10 for Linuxで構成。
48
Hypervisor(8CPU)
仮想マシン
CentOSRedhat構成パターン
物理サーバー
ライセンスの考え方① CPUライセンスの場合
CPUライセンスのみでは対応出来ない。Hypervisorは、CPU数合計で計算。物理サーバーはサーバー台数で計算。例の場合、Kaspersky Hybrid Cloud Security – CPU 8ライセンスKaspersky Hybrid Cloud Security - サーバー 2ライセンス
② サーバーライセンスの場合仮想マシン数合計で計算。
アプリケーションの構成パターン① CentOSがKSV Agentlessのシステム要件外のため、KSV Light Agentで構成。
物理サーバーはKES10 for Linux または Kaspersky Security for Windows Serverで構成。② RedhatをKSV Agentlessで構成。CentOSにはKES10 for Linuxで構成。
物理サーバーはKES10 for Linux または Kaspersky Security for Windows Serverで構成。
RedhatWindows Server
49
Hypervisor(8CPU)
仮想マシン
WindowsRDS or XenAppWindows
構成パターン
ライセンスの考え方① CPUライセンスの場合
Hypervisorは、CPU数合計で計算。② サーバーライセンスの場合
仮想マシン数合計で計算。
アプリケーションの構成パターン① KSV Light Agentで構成。② KSV Agentlessで構成。③ 仮想サーバーをKaspersky Security for Windows Serverで構成。
トラフィックセキュリティ機能により、RDSまたはXenAppのセッション毎のメールアンチウィルス、Webアンチウィルスを実現。
50
Hypervisor(8CPU)
仮想マシン
Windows 構成パターン
ライセンスの考え方① CPUライセンスの場合
Hypervisorは、CPU数合計で計算。② サーバーライセンス/デスクトップライセンスの場合
仮想サーバー数合計、仮想デスクトップ数合計で、各々計算。
アプリケーションの構成パターン① 仮想サーバー、VDIを KSV Light Agentで構成。
Light Agentには、メールアンチウイルス、Webアンチウィルス、振舞検知などがあり、VDIに最適である。
② 仮想サーバー、VDIを KSV Agentlessで構成。
AD アプリサーバー
例 Horizon、XenDesktopWindows VDI
51
Hypervisor(8CPU)
仮想マシン
構成パターン
ライセンスの考え方① CPUライセンスの場合
CPUライセンスのみでは対応出来ない。Hypervisorは、CPU数合計で計算。クラウド仮想サーバーはサーバー台数で計算。例の場合、Kaspersky Hybrid Cloud Security – CPU 8ライセンスKaspersky Hybrid Cloud Security - サーバー 2ライセンス
② サーバーライセンスの場合仮想マシン数合計で計算。
アプリケーションの構成パターン① オンプレミス仮想環境を、 KSV Agentless またはKSV Light Agentで構成。
クラウド環境をKaspersky Security for Windows Server、KES10 for Linuxで構成。
Cloud-AWS
Windows Redhat
52
構成パターン物理サーバー
ライセンスの考え方① サーバーライセンス
一本でも購入可能。
アプリケーションの構成パターン物理サーバーはKES10 for Linux または Kaspersky Security for Windows Serverで構成。
Windows Server または Linux
53