Más contenido relacionado
La actualidad más candente (20)
Similar a セキュリティCDN: Imperva Incapsula (20)
Más de J-Stream Inc. (10)
セキュリティCDN: Imperva Incapsula
- 1. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
セキュリティCDN :
Imperva Incapsula
IMPERVA Inc.
株式会社Jストリーム
2016年8月4日
【 第 2 部 】
- 2. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
株式会社Jストリーム 会社概要 (東証マザーズ上場:証券コード4308)
Confidential 2
設 立 : 1997年5月
資 本 金 : 21億8,237万円(2016年3月末現在)
代 表 者 : 代表取締役社長 石松 俊雄(いしまつ としお)
本 社 : 〒105-0014 東京都港区芝2-5-6 芝256スクエアビル6階
西日本営業所 : 〒530-0003 大阪府大阪市北区堂島2-1-31 京阪堂島ビル5階
福岡ラボ(開発拠点) :〒810-0001 福岡県福岡市中央区天神1-12-7 福岡ダイヤモンドビル5階
事 業 内 容 : (1)インターネットを利用した動画データ・画像データ・音声データの提供サービス業
(2)インターネットを利用した会員情報管理、商取引、決済処理に関する業務の受託
(3)テレビ番組、音声・映像ソフト等のデジタルコンテンツ、出版物の企画・制作及び販売業
(4)コンピュータに関するハードウェア・ソフトウェアの開発・販売
(5)インターネットを利用した各種情報提供サービス業
(6)インターネットに関する技術指導・コンサルテーション
(7)広告代理店業
主 要 株 主 : トランス・コスモス株式会社
KDDI株式会社
- 3. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.Confidential 3
CDNサービス事業者としての 19 年にわたる数多くの実績をもとに、
ネットワークを通じた企業のコミュニケーション活動をサポート
人的サポート・制作/運用体制
アカウント営業+専任スタッフによるサポート
CDN/配信インフラ
24/7での有人監視
自社保有CDN/配信サーバー
お取引企業様は年間700社以上
- 4. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
講演者プロフィール
鍋島 公章(なべしま まさあき)
Confidential 4
• 株式会社Jストリーム 配信事業統括本部 プロダクト企画部
エグゼクティブマネージャー
• 新規サービスの企画に従事
• 前職では国内モバイルキャリアでSOC(セキュリティオペレー
ションセンター)の立上げおよび運用に従事
• 監訳:実践ネットワークセキュリティ監査
• CISSP(米国ISC2認定 情報セキュリティスペシャリスト)
- 5. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula概要
Confidential 5
パフォーマンスセキュリティ 可用性
最大の運用課題を解決
これらをクラウドから提供
- 6. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsulaアプリケーション配信クラウド
Confidential 6
- 7. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsulaの基本動作
Confidential 7
Webトラフィックを、Incapsulaネットワーク経由とすることにより、
不正なトラフィックはブロックされ、正当なトラフィックは加速される
Incapsulaネットワーク Webサイト
正当なトラフィック
- 8. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Webサイトは多くの脆弱性を持つ
Confidential 8
96 % のWebアプリケー
ションは脆弱性を持つ
61 %以上のトラフィック
は人以外が生成
96%
61.5 %
人以外のトラフィック
38.5%
人が生成したトラフィック
WEB
APP
1/2は悪意を持つ
Sources: Cenzic, Inc. – Feb. 2014, Incapsula, Inc. –2013
- 9. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsulaセキュリティモデル
Confidential 9
アクセス管理
望まないIP、地域、国からのアクセスをブロック
Bot緩和
自動攻撃、好ましくないBot、悪質な情報取得(スク
レイパー)、スパムをブロック
WAF
ハッキング攻撃をブロック
OWASPトップ10攻撃(SQLi, XSS, etc.)
カスタムルール、ポリシーエンジン
アプリケーション固有の攻撃をブロック
- 10. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula WAF (Web Application Firewall)
• 様々な攻撃HTTPリクエストを排除
Confidential 10
Incapsulaネットワーク オリジンサーバ
Bot
スパマー
正当なトラフィック
WAF
負荷分散
パフォーマンス強化
DDoS
緩和
ハッカー
DDoS
- 11. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.11
WAFルール
• ルール
– バックドア対策
– 外部ファイルインクルード対策
– SQLインジェクション対策
– クロスサイトスクリプティング対策
– 不正なリソースアクセス対策
• アクション
– アラートのみ
– リクエストをブロック
– ユーザをブロック※
– IPアドレスをブロック
– ルールを無視
Confidential
※Incapsulaがユーザを認識するために
独自のクッキーを追加
Incapsulaネットワーク
- 12. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.12
Webサイトを攻撃から防御
• ビルトインの2要素認証
– 管理者パスワードの紛失・盗難から情報漏えいを守る
• (Webサーバ)バックドアの自動検知および検疫
– 防御されたシステム上でマルウェアが動作することを防御
Confidential
追加防御によりクラッカーから
Webサイトを防御
- 13. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsulaのセキュリティ・アドバンテージ
Confidential 13
クラウドベース階層セキュリティ
IP Reputation
Lists
Client
Classification
WAF
クラウドソーシング
ビッグデータ解析
• 160,000以上のサイト
• Tビット/秒のトラフィック
• 100万以上の攻撃
最もアップデートされた情報
• IPレピュテーション
• クライアント分類
• WAFシグネチャ
• ソフトウェア・ハードウェ
アの購入は不必要
• 数分で使用開始
• 専門家は不要
攻撃トレンドのクリアな
可視化
- 14. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
DDoS攻撃の動向
Confidential 14
Sources: Incapsula, Inc. – 2014, 2014 Verizon Data Breach Investigation Report
平均的なDDoS攻撃は前年より42%巨大化
42%
平均DDoS 攻撃の規模/2014
10Gbps 200Gbps
日常的な大規模攻撃/2014
- 15. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
DDoS攻撃 – 何を対策すべきか?
Confidential 15
• ネットワーク/物量 (Layer 3&4)
– 大量のトラフィックで、
ネットワーク回線を飽和させる
– 必要な対策: 巨大なネットワーク
• アプリケーション (Layer 7)
– 人間の行動に見せかけた攻撃で、
アプリケーションサーバを停止させる
– 必要な対策: 高度な識別
- 16. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
包括的なDDoS防御
Confidential 16
DNS
Web
UDP, TCP
SSH, FTP, Telnet
SMTP
SIP
DDoS防御 防御される資産
Website
Protection
Name Server
Protection
インフラ
防御
Webサイト
防御
DNSサーバ
防御
- 17. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
包括的なDDoS防御
Confidential 17
• 1.5 Tbps以上のミティゲーション容量
• 無制限の防御(頻度および攻撃規模)
• プロプライエタリ技術 (ソフトウェア, ハードウェア, アルゴリズム)
• 24x7 SOC – 経験豊かなセキュリティ技術者
DDoS防御 防御される資産
DNS
Webアプリケーション
インフラ
DNSサーバ
Webサーバ
ネットワーク, サーバ
HTTP/S
DNS
SSH, FTP, Telnet, SMTP, etc.
レイヤー
3, 4
3, 4, 7
3, 4, 7
- 18. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
物量攻撃
プロトコル
アプリケーション
24x7 SOC
IncapsulaのDDoS対策
Confidential 18
• 物量攻撃
– スクラビングネットワーク
– 専用ハードウェアとソフトウェア
– 拡張可能なアーキテクチャ
• プロトコルDDoS攻撃
– レイヤー7プロキシ / DNSプロキシ
– コネクション管理
• アプリケーションDDoS攻撃
– 仮想パッチ
– Bot識別
– アプリケーション認識
– WAF防御
– 高度なチャレンジ・レスポンス
• SOC(セキュリティオペレー
ションセンタ)
– 24x7サポート
- 19. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Bot識別
• Botの特徴
– Cookieサポート : 30 %
– JavaScript実行が可能 : 1 %
– 独特の振る舞い
• Incapsulaクライアント識別
– 誤認識率(正当なトラフィックをBot扱いする) : 0.01 %以下
Confidential 19
- 20. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula DDoS防御のアドバンテージ
• どのような規模のDDoS攻撃も簡単に防御 (グローバル
1.5 Tbps スクラビング・ネットワーク)
• どのようなタイプ (ネットワーク, アプリケーション, プロトコ
ル, etc.)のDDoS攻撃も防御
• Webサイトのスローダウン, ユーザ体験への悪影響, 誤検
知を最小化
Confidential 20
- 21. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula DDoS防御のアドバンテージ
• 洗練されたアプリケーション層技術
– DDoSボットを検知するクライアント識別エンジン
– 誤検知を最小化する透過的なチャレンジ・レスポンス(クッキー、Javascript等)
– WAF統合によるマルチベクター攻撃対策
• プロプライエタリなミティゲーション(緩和)技術
– カスタム ハードウェア、ソフトウェア、アルゴリズム
– 進化した(新種、擬態)DDoS攻撃に対応するシステムの完全管理
– システム全体に対するアップデートやカスタムルールの高速な展開
Confidential 21
- 22. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
コンテンツ配信とアクセラレーション
Confidential 22
高品質データセンタから構成されるグローバルCDN
- 23. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Webサイトを訪問者の近くに配置
Confidential 23
Incapsulaはコンテンツを最適化しキャッシュする。訪問者は、ローカルな
キャッシュからコンテンツを取得でき、高速なWebアクセスを得る
Incapsulaのキャッシュはすべて物理メモリで構成される
- 24. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
ワンタッチWebサイト高速化
• Webサイトのコンテンツを自動的に解析し、パフォーマンスの最適化を行う:
– キャッシュ可能か?
– キャッシュの保存期間
– 頻繁に使用されるオブジェクト識別および優先化
Confidential 24
高速なWebページ表示 帯域の節約 Webサーバの低負荷化
- 25. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula負荷分散とフェイルオーバー
Confidential 25
クラウドの多様性をアプリケー
ション負荷分散に適用する
ローカル
負荷分散
サイトの
フェイルオーバー
グローバル
負荷分散
- 26. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
なぜIncapsulaなのか?
著名な研究チーム161,000 以上
の顧客サイト
1.5Tbpsネットワーク
27のデータセンター
Best DDoS Mitigation Service
Top Ten Reviews 2013 – 2014
Best Web Security and
Performance Service
Top Ten Reviews 2012 – 2014
Security Innovator of the Year
Cloud Awards.com 2014
Readers choice: DDoS
Protection Solution of the Year
Search Security 2014
North America Top 10
Red Herring – 2011
Gartner MQ Leader for Web
Application Firewalls 2014, 2015
Forrester Wave Leader, DDoS
Service Providers 2015
先端ソリューション
26Confidential
- 27. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.27
Forrester WaveのDDoS対策サービス分析
• Leaders(リーダ領域)にポジション
• Current Offering(提供される機能)
においてトップ
• マーケットにおけるプレゼンス
Confidential
Source: 2015 Forrester Wave™ for DDoS Service Providers, Q3 2015
- 28. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
顧客からの信頼(数千社以上)
Confidential 28
- 29. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
IncapsulaとCDNext
• 比較
Confidential 29
Incapsula CDNext
WAF機能 ○ ×
DDoS対策 ○ △※
DDoS対策(SOC) ○ ×
CDN機能 △ ○
CDN容量(ヒット率) △ ○
料金体系 ピーク課金 流量課金
追加サイトへの課金 あり なし
※CDNextのDDoS対策:複数の数十Gbps配信拠点+特定の拠点はISPのDDoS対策を導入
- 30. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
Incapsula価格体系
• 基本プラン
• 追加オプション
Confidential 30
Imperva Incapsula プラン名
WAF
帯域幅
Webサイト数 CDN
DDoS
Protection
Enterprise 20 20 Mbps 1 ○ 1GB
Enterprise 50 50 Mbps 1 ○ 1GB
Enterprise 100 100 Mbps 1 ○ 1GB
DDoS Protectionアップグレード
アップグレード:DDoS Protection (10Gbps)
アップグレード:DDoS Protection (50Gbps)
アップグレード:DDoS Protection (無制限)
Webサイト追加(抜粋)
1サイト追加
5サイト追加
10サイト追加
- 31. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
帯域について
• 配信帯域
– (定常)ピーク10Mbps ≒ 配信量1TB/月≒100万PV/1MBページ
• DDoS攻撃
Confidential 31
- 32. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
IncapsulaとCDNext:ユースケース
• ファイル別の同時利用
– Incapsula:HTMLファイル
– CDNext:イメージファイル
• メリット
– Incapsulaの費用削減
– CDNextをIncapsulaのバッ
クアップとして利用
Confidential 32
Webサイト
CDNext
HTML
PNG, JPG
- 33. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
補足:IncapsulaとCDNext他の組み合わせ
• フロント:Incapsula、バックエンド:CDNext
• CDNextの高度なキャッシュ機能を使用する
• フロント:CDNext、バックエンド:Incapsula
• IncapsulaのDDoS対策およびWAF機能が完全には動かない
Confidential 33
WebサイトCDNext
WebサイトCDNext
- 34. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.Confidential 34
CDN情報サイトで最新技術情報を公開
https://tech.stream.jp/
本セミナのサポートページ
https://tech.jstream.jp/blog
/meeting/cdn_security_semi
nar/
- 35. © 2016 Imperva, Inc. , J-Stream Inc. All rights reserved.
ありがとうございました
https://www.stream.co.jp/
0120 – 65 - 8140
35Confidential
フリーダイヤル