thales nshield hsmとcitrix netscalerのインテグレーション sslのセキュリティ強化
TRANSCRIPT
Thales nShield HSMと
Citrix NetScalerのインテグレーション
SSLのセキュリティ強化タレスジャパン株式会社 2015年6月
www.thales-esecurity.com
3 タレスグループについて
タレスは「安全」「セキュリティ」が不可欠な分野でスマートなソリューションを提供しています!
軍事防衛航空 宇宙 セキュリティ交通・輸送
より安心して暮らせる世界を実現するための信頼できるパートナー
4 WEBアプリケーションの課題と解決策
WEBベースのアプリケーション増加! 基幹システムもWEBベース
サービス停止やダウンタイムは許されない
ピーク時でも、安定稼働・高パフォーマンス
CitrixのADCが解決! ネットワークレベルでトラフィックを管理することで、パフォーマンスを最適化
リソースを必要とするSSLの暗号処理をオフロードすることで、システムの信頼性を向上
CitrixのNetScalerがSSLトラフィックを効果的に制御! WEBサーバの使用状況を最適化
WEBアプリの処理スピードを向上
5 SSLを取り巻く脅威
長い間「安全」だと信じられてきたSSL
SSLはオンライン取引におけるデファクト
2014年SSLに関連する脆弱性が多数報告
SSLに注目が集まった年でした…
… Heartbleed
… SSL MITM(中間者攻撃)
… POODLE
… FREAK
SSLで利用する鍵をHSMの境界で管理するメリット
➡ 新しい脅威が出現しても慌てて対処しなくても良い!
6 SSL セキュリティ面の課題と解決策
SSLトラフィックの増加=暗号処理の増加 HSMの境界外で処理されるSSL鍵は攻撃に対して非常に脆弱!
トラフィック増加による暗号処理・鍵管理の煩雑化
アプリのパフォーマンスを犠牲にすることなく、安全な環境が必要
HSMによる鍵の強力な保護と効率的な暗号処理 鍵をHSM境界内で保護し、ソフトウエアと分離
暗号処理・鍵管理をオフロード ➡ パフォーマンスの最適化
SSLで利用する鍵の一元管理
解決策:
ハードウエアベースの鍵管理!リソースが必要な暗号処理・手間のかかる鍵管理を専用デバイス「HSM」に任せる!
7 nShield Connect+
nShield HSMはFIPSの認定取得済みです。
高パフォーマンス!ネットワーク型HSM マルチクライアント接続・高可用性を意識した製品設計
堅牢な鍵管理と保護
FIPSやCCといった政府機関が要求するセキュリティ認定取得済み
多様な暗号アルゴリズムに対応
ECC(楕円曲線暗号)の生成・署名は世界最速
FIPSやCCといった政府機関が要求するセキュリティ認定取得済み
鍵のアクセスログ等、監査や追跡調査の負担を軽減
8 HSM – ハードウエア・セキュリティ・モジュール
HSMとは?
Hardware Security Module
ハードベース、耐タンパ性
鍵管理とアプリケーションサーバの分離
ハードベースの暗号処理
HSMの役割?
強固な暗号処理
真の乱数の生成機能
暗号鍵のセキュリティ強化
鍵管理とポリシー管理
セキュリティ境界
ビジネスアプリ アプリケーションデータ
HSM鍵の生成・格納管理・保護
堅牢な保護セキュリティ高度な暗号処理
データの署名・暗号・復号要求 処理されたデータ
Thales e-Security OPEN
9 NetScaler “ADC” アプリケーション・デリバリ・コントローラ
A
D
C
Web
Server
Web
Server
Web
Server
WWW
膨大なリクエスト接続要求
負荷分散
データセンター Webサーバ群
NetScalerトラフィック管理
フロントエンド
11 コンポーネント・論理図
(Source: http://support.citrix.com/proddocs/topic/netscaler-traffic-management-10-5-map/thales_architecture_con.html)
13 /13 /
NetScaler ADCに最適化されたHSM
鍵をホストから物理的に分離(強力なセキュリティ)
暗号処理・鍵管理をHSMへ(高パフォーマンス)
政府機関が要求するセキュリティ基準を満たす(FIPS/CC)
可用性・拡張性・柔軟性(増設もかんたん)
導入メリット
権限・役割・アクセスを徹底管理 ➡ 不正アクセスをブロック!
相互に「みまもる」認証方式 ➡ 内部不正に効く!
鍵のアクセス履歴・レポート ➡ 監査や追跡調査を支援!
本日の講演のまとめ
14 /14 /
Citrix とThalesが提供するパフォーマンスを最適化するSSL鍵管理システム
信頼できる方法での[暗号鍵管理]はもはや必須です!
ありがとうございましたお気軽にご相談ください