加密分隔 重新定義行動存取的安全層次

瑞奇數碼

呂建鋒

March 7, 2016

加密分隔？？？

LDAP / AD

Protection Profile

Enterprise Apps

CryptoFlow

Creator

Sales Operations

想像一下，加密分隔是…

安全且輕鬆將應用系統延伸到行動裝置。

流量都是End to End加密且不影響系統效能。

根據不同需求使用不同的金鑰進行加密。

不止行動裝置，包括應用系統以及使用者之間所

有流量都可加密。

網路因為加密，受到絕對的分隔。

加密分隔！

LDAP / AD

Protection Profile

Enterprise Apps

CryptoFlow

Creator

Sales Operations

加密分隔…還是很陌生 但這些議題你一定知道

企業行動管理（EMM）

行動裝置大量普及後，如何管理成為企業IT的新課題

如何確保使用者能夠安全的連接到應用系統？

與SOTI合作

與AirWatch合作

http://www.informationsecuritybuzz.com/news/deliver-end-to-

end-cross-silo-protection-of-enterprise-applications/

APT威脅下 企業成本不斷增加

350 家大型企業 (分布在11個 國家)

23% 自2013年起在 防止資料外洩增加的成本

$379萬美金 花費在防止資料外洩

每個被竊取資料的平均成本

$154 USD 12% 自2013年起

增加的資本成本

• Statistics from Ponemon Institute, 2015

https://nhlearningsolutions.com/Portals/0/Documents/2015-Cost-of-Data-Breach-Study.PDF

APT威脅五大步驟

• 初期入侵

• 竊取憑證

• 水平擴散

• 遠端存取

• 數據外洩

http://www.ithome.com.tw/news/95148

20世紀初的水平擴散攻擊…

• http://www.titanicandco.com/iceberg.html

分隔…降低攻擊傷害

12

透過「分隔」，阻絕水平擴散攻擊。

就像是防水船艙壁，任何一個隔間淹水都不會導致沈船。

S

不斷擴大的攻擊介面

應用系統通常不具備高度安全措施，且員工、合作夥伴、供應商以及承包商都能夠使用。

因此，只要一個使用者遭到滲透，駭客就得以自由地在各應用間水平擴散，也造成受害範圍不斷擴大。

誅連九族的概念…

正面無法突破… 那就從側面下手吧！

• 三年前的美國零售商攻擊事件，駭客便是在

正面久攻不下之際，把目標轉向其缺少防備

的供應商們。

• 圖片HunterXHunter

零售商攻擊實例

Retailer Network

Contractor Network

Internet

PoS

VPN Access

Steal Password

供應商

駭客

攻擊步驟 防護失效原因

釣魚郵件竊取

帳號密碼

薄弱的密碼認證機制

數據滲漏 對Outbound流量控管較鬆

惡意程式滲透 系統間無分隔

透過Internet建立VPN

從各地都可接入的VPN

轉存信用卡資料 系統間無分隔

在PoS系統上安裝惡意程式

在帳單系統與PoS系統間並無分隔

中繼站

PoS

PoS 系統

帳單系統

其他系統

FW/VPN

PoS 惡意程式

PoS 惡意程式

PoS 惡意程式 惡意程式滲透

1 2

3

3

3

4

5

數據滲漏 6

1

2

3

4

5

6

我知道了！ 網路分隔做好做滿就可以了對吧！？

但…太多網路分隔工具…

• 分散管理使得end-to-end的加密變得非常困難。

• 不同部門使用不同技術具備不同政策。

• 資安通常排在網路效能以及可用性後面。

• 例外、例外再例外。

彼此間獨立運作的網路分隔

數據中心 雲端

行動裝置

Routes

Routes

VPN

VPN

VPN

VLAN1

VLAN1

VLAN2

VPN

Profile

Profile

Pinholes Pinholes

VPN VPN MDM

Profile

Pinholes

VPN

Routes

分公司

Shadow

IT

IoT

Let’s…連連看…

網路分隔 X 數據加密

加密分隔

風險控管：數據滲漏與偵測

既然沒有100%的防禦機制，我們應該重視風險控管。 透過加密分隔技術，有效縮小受害範圍、控制風險，最小化企業損失！

根據調查，企業一旦遭受攻擊，數據滲漏是每分鐘都在一點一滴發生的，但要企業要發現自身遭到攻擊，往往需要數週甚至數月以至於數年的時間調查。

Verizon Data Breach Investigation Report

現有網路的不足

December 2014 global IT manager survey (Spiceworks)

希望加密 但沒有執行 認為加密設定與

管理是困難的

傳統VPN的問題

VPN Sales Manager

VPN

Customer Service

VLAN 1

VLAN 2

VLAN 1

VLAN 2

HTTPS

SSL

• 僅到網路邊界，無法延伸到應用系統，進入企業後需另外控管。

• 使用多種不同安全控管方式(VPN 、VLAN、ACL…) 複雜 – 缺乏單一控管介面 掛萬漏一，容易造成缺口

• 薄弱的加密協定 SSL – 已不再安全 雙向認證的需求

• 有限度的網路分隔。

備援中心

數據中心

VPN

伺服器

Internet

訂單系統

客服系統

使用者群組 加密策略 企業應用

加密分隔架構

VPN

策略與金鑰 控管

VPN Policy

Enforcer

Users and Roles

LDAP/AD

• 根據不同應用、不同使用者群組來設定策略。

• 不同策略使用不同金鑰。

Sales

Admin

Policy

Enforcer

Policy

Enforcer

Sales

Admin

應用加密分隔

資安：從渾沌到和諧

根據企業經營原則、使用者群組、

應用系統來運作的加密分隔

行動裝置 分公司

雲端 數據中心

彼此間獨立運作的網路分隔

數據中心 雲端

行動裝置

Routes

Routes

VPN

VPN

VPN

VLAN1

VLAN1

VLAN2

VPN

Profile

Profile

Pinholes Pinholes

VPN VPN

MDM

Profile

Pinholes

VPN

Routes

分公司

Shadow

IT

IoT

加密分隔的優勢

• On-Demand VPN 使用特定應用才會透過VPN

• 加密分隔(Crypto-Segmentation) 訪問不同應用使用不同金鑰。

不符合策略無法解密。

除了網路邏輯分隔外，再加上AES-256bits的加密分隔。

• 整合LDAP/AD 針對每個使用者群組，每個應用進行策略設定。

• 單一管理介面 簡單的設定即可將安全由閘道延伸到應用系統。

Contractor Network

Internet

如果零售商使用了加密分隔…

Retailer Network

PoS

VPN Access

竊取帳號密碼

合作

廠商

駭客 中繼站

PoS

PoS

系統

帳單系統

其他系統

FW/VPN

PoS 惡意程式

PoS 惡意程式

PoS 惡意程式 惡意程式滲透

1 2

3

3

3

4

5

數據滲漏 6 STOP

STOP

STOP

STOP STOP

STOP

加密

加密

加密

加密

WAN

資料處理中心 醫生的 智慧型手機

醫生的 辦公室

醫院

病歷系統

合作藥商

LAN

Internet

護理師的 平板電腦

藥事系統 帳務系統

合作藥商的 筆記型電腦

應用案例 – 醫療體系

CryptoFlow組成

CryptoFlow 管理者 根據使用者、角色、應用系統制定策略

金鑰控管

CryptoFlow 執行者 處理裝置到應用以及應用到應用間的加

密。

CryptoFlow App 端點程式，安裝在裝置上後，便可以透

過VPN方式連接到執行者進行加密分隔。

© 2016 Certes Networks, Inc. | All rights reserved 28

網路卡支援DPDK

CPU 支援AES-NI

VMWare ESXi

使用者端作業系統支援

iOS

Android

Windows

Mac OS

使用CryptoFlow方案，只需要…

合規需求

Financial services

(SOX/GLBA)

Healthcare (HIPAA)

Government (CJIS)

Retail (PCI)

Utility (NERC / SCADA)

Education (FERPA)

我們符合下列國際機敏資料傳輸規範

最後，工商服務一下

關於Certes Networks

資料傳輸加密領導廠商

在全球超過400家大型客戶

公司總部：美國賓州匹茲堡市

成立年份：於西元2000年

→ 16年來沒有任何一個客戶資料遭到竊取！

© 2015 Certes Networks, Inc. | All rights reserved 33

Gartner: Software-Defined Segmentation (2015; G00272321)

Software-Defined Perimeter (2015; G00277295)

Mobile Virtual Private Networks (2015; G00277438)

Cool Vendor, Asia Pacific (2012; G00234583)

Cool Vendor, Cloud Security (2012; G00231961)

Cool Vendor, Infrastructure Protection (2009; G00165423)

Forrester: Mind the App! (2015)

Forrester: Zero Trust Mitigation technology (2012)

IDC: NFV-based WAN Solutions (2015; 254673)

Cloud Security Alliance

Computing magazine: Application Security Award 2015 Finalist

IT Expo 2014: Best of Show

SC Magazine: Best IPsec/SSL VPN 2012 Finalist

Best Buy 2010

Forbes Magazine: Cited among 10 standout security technologies at

RSA 2015

TMCnet: 2015 Cloud Computing Product of the Year Award winner.

產業領導品牌 有目共睹

CertesNetworks.com

7,300 products deployed

84 countries

Not One Customer in the Hacking Headlines

Thank You!

Thank You~

更多詳情請與我們聯繫（10號攤位） www.richsmt.com

透過加密分隔保護企業重要資料!!!