Embed Size (px)
Citation preview
© 2018 Kaspersky Lab. All rights reserved.
KASPERSKY SECURITY for INTERNET GATEWAY
アプリケーション名 Kaspersky Web Traffic Security
2018/11/19 株式会社 カスペルスキー エンジニアリング統括部
名称変更
2006 – 2018: Kaspersky Antivirus for Proxy Servers
2018 11月 ~ ライセンス名称 Kaspersky Security for Internet Gateway 使用出来るアプリケーション Kaspersky Web Traffic Security
2
エンドポイントを取り巻く脅威状況 ~なぜ、WEB GATEWAY PROTECTIONが必要なのか?
3
ネットワーク境界
1
4
3 4
4
2
1 – Webコンテンツが要求される。 2 – Proxy serverが webコンテンツを取りに行く。 3 – Web コンテンツが送られる。 4 – 他のユーザーも感染
Proxy Server
, ? , ?
なぜ、WEB GATEWAY PROTECTIONが必要なのか?
Webコンテンツは ネットワーク境界を越えて入ってくる。
4
オンラインの脅威 2017年の統計*
199,455,606 の固有URLが、カスペルスキーソリューションのWeb脅威に対する防御機能により、脅威があるWebサイトと認識されている。 29.4%の端末がマルウェアと分類されるWeb攻撃を受けている。 Kaspersky Labのソリューションは、 世界中のオンラインリソースからの1,188,728,338の攻撃を退けている。 カスペルスキーソリューションのWeb脅威に対する防御機能は、15,714,700の固有な悪意のあるオブジェクトを検知している。
*データ出典 Kaspersky Security Networkに依る。 5
オンライン脅威 vs. GATEWAY PROTECTION
• ほぼ 1/3の端末が攻撃を受けている。
• Gatewayソリューションでは、入ってくる95%以上の脅威をブロック出来る。
• リスクは 29.4%から1.47%に減少する。
攻撃を受けている端末
*データ出典 Kaspersky Security Networkに依る。 6
脅威にさらされる更なるポイント!
ユーザーはマルウェアに遭遇するとパニックになる傾向がある。 標準以上のサポートはお金がかかる!
いくつかの端末(例:Windowsではない端末)では、Webの使用は直接的に統制されていない。 リスクが増える。
特定の端末はダイレクトに保護出来ないーしかし、依然として脆弱なまま!
7
KASPERSKY WEB TRAFFIC SECURITYについて
8
KASPERSKY WEB TRAFFIC SECURITY
• アプリケーション名称 : KASPERSKY WEB TRAFFIC SECURITY
• 主な機能 :
• Proxyサーバーを通るトラフィックをICAP protocol を使用してスキャンする。
• 悪意のあるコンテンツ・オブジェクト、迷惑なコンテンツをブロックする。
• 特定のサイト、カテゴリーを制限する。
9
2
ネットワーク境界
1
3
Proxy Server
, ? , ?
どのように動作するか
ALERT!
ALERT!
4
5
Kaspersky Web Traffic Security
1 – Proxy server に web コンテンツをリクエスト 2 – Web コンテンツがリクエストされる 3 – Web コンテンツが送られる 4 – 悪意のあるコンテンツがブロックされる 5 – ユーザーはクリーンなWebコンテンツのみを受信。
4
10
Master Node
Worker Node
Internet
?
1
3
2
5
6 4
7
Worker Node
9
10
Kaspersky Web Traffic Security
8 Worker Node
Proxy Server
ICAP load balancer
8 8
マスター/ワーカーノード ユーザー
① ユーザーがProxyサーバーを通じてインターネットにリクエスト ( http(s), ftp)を行う。
② ProxyサーバーはリクエストされたWebリソースを探査。 ③ リクエストされたWebリソースはProxyサーバーに送ら
れる。 ④ ロードバランサーを通じて、Proxy サーバーはICAP通信
によりオブジェクトをKWTSに送信。 ⑤ 検査のため、ロードバランサーがワーカーノードを選択
し、オブジェクトを送信。 ⑥ ワーカーノードはProxyサーバーに判断結果を返す。 ⑦ Proxy サーバーは安全と証明されたWebページとオブ
ジェクトを配送し、同様に、脅威がある場合には判断結果を配送する。
⑧ ワーカーノードは トラフィック処理ルールに基づいて、オブジェクトをスキャンするために、ICAP サーバーとして動作する。デフォルトルール は、アンチマルウェア、アンチフィッシングのチェックを含んでいる。 URL分類とコンテンツフィルタリングも使用可能である。
⑨ 中央のマスターサーバーはイベントデータコレクションをと管理をつかさどる。 Webコンソールでは設定を行うだけでなく。セキュリティイベントとヘルス状態のリアルタイム監視が可能なダッシュボードも提供する。
⑩ Windows ドメインコントローラーは、 Kerberos または NTLMを通じて、Proxy上でのユーザー認証またはデバイス認証を行う。
11
境界 • データチャネルの統制 • 危険なファイル、URL、IPのブロック
Kaspersky Web Traffic Security
脅威に対する保護
コンテンツ フィルタリング
Web コントロール
URL 評価
(Reputation) • インターネット使用の制限
アンチ フィッシング
Internet
人的要素に依るリスクを軽減
12
Endpoints
(Squ
id等、
ICAPサポート
)
Prox
y se
rver
Kaspersky Web Traffic Security
どのように動作するか
脅威に対する保護 (アンチウイルス)
アンチフィッシング
URL/IP 評価・reputation
コンテンツフィルタリング
Web コントロール
リクエスト
Webページ Redirect IP or URL
ファイル
安全なコンテンツ
WWW
13
2
スキャン
1
3
Squid SSL Bump
httpsスキャン
4
5
Kaspersky Web Traffic Security
4
https リクエスト
暗号化されたまま応答
自己署名 SSL証明書の発行
暗号化されたコンテンツ
SSL証明書のインポート
複合 結果の送信
14
スケーリングと信頼性
Primary Master
Secondary Master
Worker 1 Worker 2 Worker 3
RPC via HTTPs
RPC via HTTPs
Web Interface
15
KASPERSKY WEB TRAFFIC SECURITY 管理画面
16
17
18
19
• ICAP(s) インテグレーション: HTTP、HTTPS (proxyが必要)、FTP over HTTP • KSNによる最新のアンチウイルス情報参照(machine learning-powered) • アンチフィッシングの刷新 (machine learning-powered ) • ファイル評価(レピュテーション) (オフラインとKSNベース) • URL/IP フィルタリング (アンチフィッシングとGReAT databaseに基づくweb レピュテーション) • URL分類によるWeb コントロール (40 以上のカテゴリー 暴力、武器、SNSなど) • mime-type、サイズ、名前によるコンテンツフィルタリング • Kaspersky Anti Targeted AttackのWebセンサーとしての動作
セキュリティ機能
20
管理機能
• マスターサーバーのためのWebGUI • ワーカーサーバーのためのコマンドインターフェイス • シングルサインオン ( Kerberos と NTLM ) • 詳細な管理のためのアクセスルール、プロテクションルール • ロールベースアクセスコントロール (RBAC) for more secure management • Active Directoryを使用したインテグレーション –RBACとトラフィックルールのためのユーザー・グループ • マルチノード構成 – 集中管理マスターサーバーとワーカーノード • 組織全体と選択されたワークスペースを対象としたダッシュボード • リアルタイムアクティビティを追跡するイベントビュー • SIEMとのインテグレーション • マネージドセキュリティサービス Ready – ルールとイベントのマルチテナンシー
21
