SDPのここがすごい！ゼロトラスト勉強会～後編～

© APCommunications Co., Ltd. 2023 Page 2 自己紹介所属：(株)エーピーコミュニケーションズ iTOC事業部
BzD部 0-WAN 氏名：嘉藤育宏（カトウヤスヒロ）略歴：HW保守（チェンジニア）数年、運用監視/管理COTSの設計･構築数年、インフラ設計･構築数年、 2022年6月エーピーコミュニケーションズ入社目標：CCIE SP（Service Provider）挑戦中資格：CCNP､DEVASC､ITILv3､Zscaler(ZIA/ZPA) 好き：アイス、ベルギービール、ジーパン嫌い：パクチー

© APCommunications Co., Ltd. 2023 Page 3 Agenda 1. はじめに
2. Zero Trust Network Access 3. VPNとSDPの比較 4. Zero Trust Architecture の論理構成 5. SDPの仕組み 6. おわりに

© APCommunications Co., Ltd. 2023 Page 4 1. はじめに 2.
Zero Trust Network Access 3. VPNとSDPの比較 4. Zero Trust Architecture の論理構成 5. SDPの仕組み 6. おわりに

© APCommunications Co., Ltd. 2023 Page 5 はじめに 8a1にご参加いただきありがとうございます。前回に引き続きセキュリティに関するVPNの課題に焦点を当てて、VPNと
SDP(ZTNA)の比較、SDPの仕組みについてお話します。SDP(ZTNA)について学びたい方、VPNとSDP(ZTNA)の違いを理解したい方、ゼロトラストに興味のある方に、是非聞いて頂ければと思います。

© APCommunications Co., Ltd. 2023 Page 7 コンセプト「Zero Trust
Network Accessとは？」が理解できる興味「ゼロトラストアーキテクチャ、SDPの仕組み」が理解できる体感 Level2 「脱VPNへの一歩：VPNとSDPの違い」を理解・説明できる体験 Level3 Level1 「Zero Trust Network Accessって何？」⇒「ゼロトラストアーキテクチャ、SDPの仕組みが理解できた」となってもらうことが目標対象者 • ゼロトラストを勉強中の方 • ZTNA、SDPに興味のある方本セッションの目標 = Level2到達

© APCommunications Co., Ltd. 2023 Page 8 ゼロトラスト勉強会の内容（概要）＃１ポートノッキング
＃２ Single Packet Authorization（SPA）＃３ VPN v.s. SDP（従来のVPNとSDPを比較）＃４ Software-Defined Perimeter（SDP） SDP 分からん SDP 完全に理解した SDP Dive into Software-Defined Perimeter ☺ VPN v.s. SDP SPA Port Knocking 本日はココ！

© APCommunications Co., Ltd. 2023 Page 9 前回の振り返り Port knocking概要
Port Knocking Client SSH Client SSH Client ＦＷ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client ＦＷ Client Server Deny access from Client Port Knocking Client SSH Client SSH Client ＦＷ Client Server Allow access from Client 最初の状態ではポート22は閉じられています。 ClientからPort knockingに定義されたTCP SYNのシーケンスが送信される。 ServerはTCP/22を開放します。 Deny-Allの状態を維持しつつ、決められたノックシーケンスが送られてきた時のみアクセスを許可するということが実現できます。

© APCommunications Co., Ltd. 2023 Page 10 前回の振り返り Port knockingのデメリット
Port Knocking Client SSH Client SSH Client ＦＷ Server Deny access from Client これって、真似したらワンチャンサーバにアクセスできるんじゃね？暗号化していないから丸見えリプレイ攻撃に弱いノックシーケンスは、暗号化されずにそのままネットワーク上を流れます。１ノックシーケンスの破壊第三者がノックシーケンスの一部を送ることで、シーケンスそのものを破壊可能です。２ IDS、ポートスキャンに弱いノックシーケンスは、一連のパケットの流れになるので探索が可能です。３

© APCommunications Co., Ltd. 2023 Page 11 前回の振り返り Single Packet
Authorizationの概要 SDP Client SSH Client SSH Port22 ＦＷ Client Server Deny access from Client SDP Client SSH Client SSH Port22 ＦＷ Client Server Deny access from Client SDP Client SSH Client SSH Port22 ＦＷ Client Server Allow access from Client SPA パケット最初の状態ではポート22は閉じられています。 ClientがSPAパケットを送信します。 Serverは一定時間TCP/22を開放します。 SDP Server SDP Server SDP Server Deny-Allの状態を維持しつつ、正規のSPAパケットが送られてきた時のみアクセスを許可するということが実現できます。 chapter “Trusting the Traffic” in Zero Trust Networks by Evan Gilman and Doug Barth (O’Reilly Media, Inc., 2017).

© APCommunications Co., Ltd. 2023 Page 12 前回の振り返り SPAの特徴 SPAの特徴は以下のとおりです。
特徴 Deny-All 対リプレイ攻撃対DDoS攻撃対スニッフィング認証の強化 SPAパケットでないものは全てドロップ過去に来たパケットが来た場合にリプレイ攻撃であると判断シーケンスではないのでDDoS攻撃の可能性を低減詳しくは※を参照ください。 1パケットであることから、スニッフィングすることが困難クライアントのユーザ名など、ユーザに対応した追加の認証等の処理が可能 ※ Software-Defined Perimeter as a DDoS Prevention Mechanism https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-as-a-ddos-prevention-mechanism/

© APCommunications Co., Ltd. 2023 Page 14 Internet 話の位置づけゼロトラストの主要な技術要素とZTNA（SDP）の位置づけを以下に示します。
External Application Internal Application SASE※ FWaaS CASB SD-WAN SWG ZTNA（SDP）端末 EDR NGAV MDM ログの監視と収集 SIEM SOC UEBA SOAR IdP IDaaS 本日はココ！ ※ Secure Access Service Edge, SASE

© APCommunications Co., Ltd. 2023 Page 15 SASE/SSEとはセキュリティサービスとネットワークサービスを融合したものを、 Secure
Access Service Edge, SASEといいます。セキュリティサービス SWG ZTNA FWaaS 認証サービスなど CASB ネットワークサービス MPLS/VPN インターネット NW最適化 QoS など SD-WAN SASE Secure Access Service Edge ＋＝またSASEのセキュリティ面を担うものを、 Security Service Edge, SSEといいます。出典：CXO REvolutionaries、「Security Service Edge (SSE) reflects a changing market: what you need to know」 SASE SSE ZTNA CASB SWG 3つのコアコンポーネント FWaaS DLP など複数のオプションコンポーネント

© APCommunications Co., Ltd. 2023 Page 16 Zero Trust Network
Accessとは Zero Trust Network Access（ZTNA）は2種類あります。 PROXY-Based Service-Initiated ZTNA 以降、ZTNAと省略します。 SDP-Based Endpoint-Initiated ZTNA 以降、SDPと省略します。 Zero Trust Network Access（ZTNA）他にも色々今回はこっち

© APCommunications Co., Ltd. 2023 Page 18 VPNの攻撃例認証に関する攻撃を多く受けます。以下に代表的な攻撃例を示します。ブルートフォース攻撃
リバースブルートフォース攻撃同じログインID パスワード① パスワード② パスワード③ パスワード④ パスワード⑤ パスワード⑥ パスワード⑦ 同じパスワードログインID① ログインID② ログインID③ ログインID④ ログインID⑤ ログインID⑥ ログインID⑦ 一つのアカウントに対して、想定されるパスワードを総当たり的にログイン認証を繰り返す攻撃手法。試行するパスワードを固定して、IDを変えながら総当たり的にログイン認証を繰り返す攻撃手法パスワードスプレイ攻撃同じパスワード同じパスワード同じパスワード同じパスワードパスワードスプレー攻撃は複数のアカウントに対して「同じパスワード」を使って、同時にログイン試行します。

© APCommunications Co., Ltd. 2023 Page 19 2023年の新しい脆弱性 VPNの脆弱性 VPNは脆弱性が大変多いです。
2022年最も悪用された脆弱性TOP12（CISA※） https://www.bleepingcomputer.com/news/security/fbi-cisa-and-nsa-reveal-top-exploited-vulnerabilities-of-2022/ ※ Cybersecurity and Infrastructure Security Agency, CISA 1位 2020年、2021年もランクイン！！ 2019年5月修正済み TunnelCrack 攻撃 Citrix NetScaler の脆弱性 CVE-2023-3519 CVE-2023-4966 BIG-IP の脆弱性 CVE-2023-43125 SoftEther VPN PacketiX VPNの脆弱性 CVE-2023-27395 CVE-2023-22325 CVE-2023-32275 CVE-2023-27516 CVE-2023-32634 CVE-2023-31192 Fortinet の脆弱性 CVE-2023-27997 VPNの脆弱性と攻撃の可能性 CVE-2023-36672 CVE-2023-35838 CVE-2023-36673 CVE-2023-36671 SonicWall の脆弱性 CVE-2023-41712 CVE-2023-41715 Cisco AnyConnect の脆弱性 CVE-2023-36672 CVE-2023-36673 Wireguard の脆弱性 CVE-2023-35838 Clario VPN の脆弱性 CVE-2023-36671 CVE-2023-36672

© APCommunications Co., Ltd. 2023 Page 20 VPNの脆弱性ランサムウェア被害の多くはVPNからの侵入が多い傾向にあります。 62%
19% 9% 11% VPN機器からの侵入リモートデスクトップからの侵入不審メールやその添付ファイルその他ランサムウェアの感染経路（2022年）有効回答 102件（出典）警察庁「令和４年におけるサイバー空間をめぐる脅威の情勢等について」 54% 20% 7% 20% VPN機器からの侵入リモートデスクトップからの侵入不審メールやその添付ファイルその他有効回答 76件ランサムウェアの感染経路（2021年） 71% 10% 4% 14% VPN機器からの侵入リモートデスクトップからの侵入不審メールやその添付ファイルその他有効回答 49件ランサムウェアの感染経路（2023年上半期）（出典）警察庁「令和３年におけるサイバー空間をめぐる脅威の情勢等について」（出典）警察庁「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」

© APCommunications Co., Ltd. 2023 Page 21 VPNが狙われる理由何故、VPNが狙われてしまうのでしょうか。企業リソース
情報（サービス） PPTP ＝ 1723/TCP L2TP ＝ 1701/UDP IPSec ＝ 500/UDP、4500/UDP OpenVPN ＝ 1194/UDP、443/TCP 各種メーカー固定のポート番号（定義変更によりDefaultから変更可能） VPN 認証は最初だけ

© APCommunications Co., Ltd. 2023 Page 22 VPNとSDPの違い何度も異なる認証プロセスを行います。コントロールプレーン
データプレーン Policy Decision Point（PDP） SDP コントローラ Policy Enforcement Point（PEP）ユーザー（主体） IH（SDP Initiating Host）情報（リソース） AH（SDP Accepting Host） TLS 通信開始前認証① 通信開始前認証② 通信開始前認証③ クライアント相当サーバ相当詳しくは後ほど説明します。

© APCommunications Co., Ltd. 2023 Page 23 ZTNA / SDPはシステムを隠蔽します
SDPはシステムを隠蔽します。有効なSPAパケットを受信するまで応答しません。 SDP コントローラ IH AH ホストどこ？ F W ファイアウォールの先にいるのか企業リソース情報（サービス） VPN ファイアウォールの先にサービスが存在することが分かる。

© APCommunications Co., Ltd. 2023 Page 24 SDPは攻撃を検出します攻撃を検出します。データプレーン
Policy Enforcement Point（PEP）ユーザー（主体） IH（SDP Initiating Host）情報（リソース） AH（SDP Accepting Host） TLS 通信開始前認証最初のパケットが SPAじゃないから攻撃だ！最初のパケットはSPAパケットである必要があります。それ以外のパケットをAHが受信した場合、攻撃とみなす必要があります。 1パケットで攻撃か否かを判断できます。

© APCommunications Co., Ltd. 2023 Page 25 VPNとZTNA / SDPの違い
ＶＰＮＳＤＰ認証の複雑性一般的に1度かつ単純なログイン検証 × 複数回の異なる認証プロセス ◦ システム隠蔽性ファイアウォールのポート固定 × Deny-allでシステムを隠蔽 ◦ 攻撃の検出なし × 1stパケットはSPAのみを許可し、攻撃を検出します ◦ 総合評価 × ◦ ここまでの比較をまとめます。

© APCommunications Co., Ltd. 2023 Page 27 Zero Trust Architectureとは？
Zero Trust Architecture（NIST SP800-207）とは一体何か。序章ゼロトラスト・アーキテクチャの論理的構成要素導入シナリオ／ユースケースゼロトラスト・アーキテクチャに関連する脅威米国政府のガイダンスとの整合性や関連性ゼロトラスト・アーキテクチャへの移行ゼロトラストが生まれた背景ゼロトラストの基本的な考え方ゼロトラストの実践方法ゼロトラストを実践・学習する最良のドキュメント世界標準ガイドゼロトラストの考え方

© APCommunications Co., Ltd. 2023 Page 28 Zero Trust Architectureの勘所①
大変重要なゼロトラストにおける7つの基本原則！！序章ゼロトラスト・アーキテクチャの論理的構成要素導入シナリオ／ユースケースゼロトラスト・アーキテクチャに関連する脅威米国政府のガイダンスとの整合性や関連性ゼロトラスト・アーキテクチャへの移行ゼロトラストが生まれた背景ゼロトラストの基本的な考え方ゼロトラストの実践方法ゼロトラストを実践・学習する最良のドキュメントゼロトラストの考え方 1. データソースとコンピュータサービスは、全てリソースと見なす 2. 「ネットワークの場所」に関係なく、通信は全て保護される 3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される 4. リソースへのアクセスは動的なポリシーによって決定される 5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する 6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される 7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

© APCommunications Co., Ltd. 2023 Page 29 Zero Trust Architectureの勘所②
ゼロトラストアーキテクチャの大変重要な論理構成図！！ゼロトラストの考え方ゼロトラスト・アーキテクチャの論理的構成要素導入シナリオ／ユースケースゼロトラスト・アーキテクチャに関連する脅威米国政府のガイダンスとの整合性や関連性ゼロトラスト・アーキテクチャへの移行ゼロトラストが生まれた背景ゼロトラストの基本的な考え方ゼロトラストの実践方法ゼロトラストを実践・学習する最良のドキュメント

© APCommunications Co., Ltd. 2023 Page 30 Zero Trust Architectureの勘所③
様々な展開シナリオや事例を紹介！ゼロトラストの考え方ゼロトラスト・アーキテクチャの論理的構成要素導入シナリオ／ユースケースゼロトラスト・アーキテクチャに関連する脅威米国政府のガイダンスとの整合性や関連性ゼロトラスト・アーキテクチャへの移行ゼロトラストが生まれた背景ゼロトラストの基本的な考え方ゼロトラストの実践方法ゼロトラストを実践・学習する最良のドキュメント 1. リモートワークにおける一般的なユースケース 2. マルチクラウドを利用するユースケース 3. ゲストネットワークに関するユースケース 4. 企業間の連携に関するユースケース

© APCommunications Co., Ltd. 2023 Page 31 Zero Trust Architectureの勘所④
既存ネットワークからのゼロトラスト移行方法の紹介！！ゼロトラストの考え方ゼロトラスト・アーキテクチャの論理的構成要素導入シナリオ／ユースケースゼロトラスト・アーキテクチャに関連する脅威米国政府のガイダンスとの整合性や関連性ゼロトラスト・アーキテクチャへの移行ゼロトラストが生まれた背景ゼロトラストの基本的な考え方ゼロトラストの実践方法ゼロトラストを実践・学習する最良のドキュメント

© APCommunications Co., Ltd. 2023 Page 32 Zero Trust Architectureの勘所⑤
ゼロトラスト・アーキテクチャに関連する脅威！！ゼロトラストの考え方ゼロトラスト・アーキテクチャの論理的構成要素導入シナリオ／ユースケースゼロトラスト・アーキテクチャに関連する脅威米国政府のガイダンスとの整合性や関連性ゼロトラスト・アーキテクチャへの移行ゼロトラストが生まれた背景ゼロトラストの基本的な考え方ゼロトラストの実践方法ゼロトラストを実践・学習する最良のドキュメントセキュリティに関する７つの脅威 1. ZTAの決定プロセスの転覆 2. DDoSまたはネットワーク障害 3. 盗まれたクレデンシャル/内部の脅威 4. ネットワーク上の可視性５. システムとネットワーク情報の保存６. 独自データフォーマットやソリューションへの依存７. ZTA管理におけるNPEの利用

© APCommunications Co., Ltd. 2023 Page 33 Zero Trust Architecture
の論理構成データプレーン（手・脚）コントロールプレーン（脳） Zero Trust Architecture 論理構成はコントロールプレーンとデータプレーンに分かれています。

の論理構成データプレーンコントロールプレーン実際にデータをやり取りするデータプレーンと、認証・認可を行うコントロールプレーンを分けて考えると以下のようになります。システムユーザー企業リソース情報（サービス）まだ認証・認可されていないので、ユーザーは情報にアクセスすることができません。 Untrust

の論理構成データプレーンコントロールプレーンコントロールプレーン、データプレーンの名称を以下に示します。 ※ Zero Trust Architecture（NIST SP800-207）で示されている名称に合わせます。システムユーザー Policy Decision Point(PDP) Policy Engine(PE) Policy Enforcement Point(PEP) Policy Administrator(PA) 企業リソース情報（サービス） Untrust Zone Implicit Trust Zone 認証・アクセス管理単純な処理

の論理構成データプレーンコントロールプレーンユーザーがゼロトラストネットワークで企業リソースにアクセスする流れを以下に示します。 Policy Decision Point(PDP) Policy Engine(PE) Policy Administrator(PA) ⑤ 企業リソース情報（サービス） ① Untrust システムユーザー Policy Enforcement Point(PEP) Implicit Trust Zone

の論理構成データプレーンコントロールプレーンユーザーがゼロトラストネットワークで企業リソースにアクセスする流れを以下に示します。 ① Untrust システムユーザー Policy Engine(PE) ⑤ 企業リソース情報（サービス） Policy Decision Point(PDP) Policy Enforcement Point(PEP) ② Implicit Trust Zone

の論理構成データプレーンコントロールプレーンユーザーがゼロトラストネットワークで企業リソースにアクセスする流れを以下に示します。 ① Untrust システムユーザー Policy Enforcement Point(PEP) ② 企業リソース情報（サービス） Policy Decision Point(PDP) Policy Engine(PE) Policy Administrator(PA) ③ 認証・認可 PASS Implicit Trust Zone

の論理構成データプレーンコントロールプレーンユーザーがゼロトラストネットワークで企業リソースにアクセスする流れを以下に示します。 ① Untrust システムユーザー Policy Engine(PE) ③ 認証・認可 PASS ② 企業リソース情報（サービス） Policy Decision Point(PDP) Policy Enforcement Point(PEP) Policy Administrator(PA) ④ Implicit Trust Zone

の論理構成データプレーンコントロールプレーンユーザーがゼロトラストネットワークで企業リソースにアクセスする流れを以下に示します。 ① Untrust システムユーザー Policy Decision Point(PDP) Policy Engine(PE) Policy Administrator(PA) ③ 認証・認可 PASS ② ④ 企業リソース情報（サービス） Policy Enforcement Point(PEP) ⑤ Implicit Trust Zone

の論理構成データプレーンコントロールプレーンユーザーがゼロトラストネットワークで企業リソースにアクセスする流れを以下に示します。 ① Untrust システムユーザー Policy Decision Point(PDP) Policy Engine(PE) Policy Administrator(PA) ③ 認証・認可 PASS ② ④ ⑤ Policy Enforcement Point(PEP) ⑥ Trust 企業リソース情報（サービス）

の論理構成データプレーンコントロールプレーンユーザーがゼロトラストネットワークで企業リソースにアクセスする流れを以下に示します。 ① Untrust システムユーザー Policy Decision Point(PDP) Policy Engine(PE) Policy Administrator(PA) ③ 認証・認可 PASS ② ④ Policy Enforcement Point(PEP) ⑥ Trust 認証・認可をPASSしたので、ユーザーは企業リソースにアクセスすることができます。企業リソース情報（サービス） ⑤

の論理構成データプレーンコントロールプレーン不審なユーザーが企業リソースにアクセスする場合はどうなるでしょうか。システム不審なユーザー Policy Decision Point(PDP) Policy Engine(PE) Policy Enforcement Point(PEP) Policy Administrator(PA) 企業リソース情報（サービス） Untrust Zone Implicit Trust Zone

の論理構成データプレーンコントロールプレーン不審なユーザーが企業リソースにアクセスする場合はどうなるでしょうか。 Policy Decision Point(PDP) Policy Engine(PE) Policy Administrator(PA) 企業リソース情報（サービス） ① Untrust システム不審なユーザー Policy Enforcement Point(PEP) Implicit Trust Zone

の論理構成データプレーンコントロールプレーン不審なユーザーが企業リソースにアクセスする場合はどうなるでしょうか。 ① Untrust システム不審なユーザー Policy Engine(PE) Policy Administrator(PA) 企業リソース情報（サービス） Policy Decision Point(PDP) Policy Enforcement Point(PEP) ② Implicit Trust Zone

の論理構成データプレーンコントロールプレーン不審なユーザーが企業リソースにアクセスする場合はどうなるでしょうか。 ① Untrust システム不審なユーザー Policy Enforcement Point(PEP) Policy Administrator(PA) ② 企業リソース情報（サービス） Policy Decision Point(PDP) Policy Engine(PE) ③ 認証・認可 FAIL Implicit Trust Zone

の論理構成データプレーンコントロールプレーン不審なユーザーが企業リソースにアクセスする場合はどうなるでしょうか。 ① Untrust システム不審なユーザー Policy Engine(PE) ③ 認証・認可 FAIL ② 企業リソース情報（サービス） Policy Decision Point(PDP) Policy Enforcement Point(PEP) Policy Administrator(PA) ④ Implicit Trust Zone

の論理構成データプレーンコントロールプレーン不審なユーザーが企業リソースにアクセスする場合はどうなるでしょうか。 ① Untrust システム不審なユーザー Policy Decision Point(PDP) Policy Engine(PE) Policy Administrator(PA) ③ 認証・認可 FAIL ② ④ 企業リソース情報（サービス） Policy Enforcement Point(PEP) ⑤ Implicit Trust Zone

の論理構成データプレーンコントロールプレーン不審なユーザーが企業リソースにアクセスする場合はどうなるでしょうか。 ① Untrust システム不審なユーザー Policy Decision Point(PDP) Policy Engine(PE) Policy Administrator(PA) ③ 認証・認可 FAIL ② ④ 企業リソース情報（サービス） Policy Enforcement Point(PEP) ⑥ Untrust Implicit Trust Zone ⑤

の論理構成データプレーンコントロールプレーン不審なユーザーが企業リソースにアクセスする場合はどうなるでしょうか。 ① Untrust システム不審なユーザー Policy Decision Point(PDP) Policy Engine(PE) Policy Enforcement Point(PEP) Policy Administrator(PA) ③ 認証・認可 FAIL ② ④ ⑤ ⑥ Untrust 認証・認可をPASSしないので、ユーザーは企業リソースにアクセスすることができません。企業リソース情報（サービス） Implicit Trust Zone

© APCommunications Co., Ltd. 2023 Page 51 PDP/PEP 暗黙のトラスト領域を最小化せよ！ GATE
1 企業リソース情報（サービス）ユーザー Untrust Zone Implicit Trust Zone （搭乗エリア） G A T E 空港における乗客の検閲モデルについて考えてみましょう。ここの領域は可能な限り最小化すべきです。

© APCommunications Co., Ltd. 2023 Page 53 SDPの仕様書 Software-Defined Perimeter(SDP)仕様書v2.0とは何か？
はじめに SDPのデザイン SDPプロトコルまとめ参考文献付録 SDPが生まれた背景 SDPの基本的な考え方 SDPプロトコル詳細 Software-Defined Perimeter(SDP) とは何かを把握する最良のドキュメント約８年、ゼロトラストの原則に対する熱意は凄いです！

© APCommunications Co., Ltd. 2023 Page 55 SDPの論理構成 SDPもコントロールプレーンとデータプレーンに分かれています。コントロールプレーン
PDP Policy Decision Point データプレーン PEP Policy Enforcem ent Point IdP

© APCommunications Co., Ltd. 2023 Page 56 SDP（Software Defined Perimeter）
SDPの仕組みデータプレーンコントロールプレーン Software-Defined Perimeter(SDP)仕様書v2.0を基にZTAの簡易モデルを書き換えます。 Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） Policy Decision Point(PDP) Controller サーバー相当 IH （Initiating Host）クライアント相当

SDPの仕組みデータプレーンコントロールプレーン ① 大前提として、SDPコントローラーがオンライン（使用可能状態）である必要があります。 Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） IH （Initiating Host） Policy Decision Point(PDP) Controller ① Ready

SDPの仕組みデータプレーンコントロールプレーン ② AHがコントローラーと認証する必要があります。 IH （Initiating Host） Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） Policy Decision Point(PDP) Controller ② AHがコントローラーと認証する必要があります。 SPAを使って認証します。

SDPの仕組みデータプレーンコントロールプレーン ③ IHがコントローラーと接続して認証を行います。 Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） IH （Initiating Host） Policy Decision Point(PDP) Controller ③ IHがコントローラーと認証する必要があります。 SPAを使って認証します。

SDPの仕組みデータプレーンコントロールプレーン ④ IHの認証完了後、コントローラはIHの通信が許可されているサービスのリストをAHからの情報を基に決定します。 IH （Initiating Host） Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） Policy Decision Point(PDP) Controller ④ IHの認証完了後、コントローラはIHの通信が許可されているサービスのリストをAHの情報を基に決定します。

SDPの仕組みデータプレーンコントロールプレーン ⑤ コントローラは、AHに「IHとTLS通信をするための情報」を渡します。 AHは、IHからのSPAパケットの受信待ち状態となります。 IH （Initiating Host） Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） Policy Decision Point(PDP) Controller ⑤コントローラは、AHに「IHとTLS通信をするための情報」を渡します。

SDPの仕組みデータプレーンコントロールプレーン ⑥ コントローラは、IHに「AHとTLS通信をするための情報」を渡します。 Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） IH （Initiating Host） Policy Decision Point(PDP) Controller ⑥コントローラは、IHに「AHとTLS通信をするための情報」を渡します。

SDPの仕組みデータプレーンコントロールプレーン ⑦ IH が SPA パケットを AH に送信します。 Policy Decision Point(PDP) Controller IH （Initiating Host） Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） ⑦ IH が SPA パケットを AH に送信します。

SDPの仕組みデータプレーンコントロールプレーン ⑧ IH から送信された SPA パケットを AH が認証すると、TLS通信を開始できるようになります。 Policy Decision Point(PDP) Controller IH （Initiating Host） Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） ⑧ IH から送信された SPA パケットを AH が認証すると、TLS通信を開始できるようになります。 TLS

SDPの仕組みデータプレーンコントロールプレーン ⑨ IH が AH と TLS通信を行い、AHと同居している企業リソースに到達することができます。 IH （Initiating Host） Policy Enforcement Point(PEP) AH （Accepting Host）企業リソース情報（サービス） Policy Decision Point(PDP) Controller TLS ⑨ IH が AH と TLS通信を行い、AHと同居している企業リソースに到達することができます。

© APCommunications Co., Ltd. 2023 Page 66 まとめ VPN と
SDPの違い一般的なVPNと比較すると、認証のプロセス／システムの隠蔽性／攻撃の検出など、 SDPの方がセキュリティ強度が強い。 1 Zero Trust Architectureの論理構成ポリシーの決定をしているコントロールプレーンと、ポリシーを適用・実施するデータプレーンに分かれている。 2 SDPの仕組み通信を開始する前に接続前認証を複数個所で行い、認証に必要な情報をコントローラーから得て、異なる認証プロセスを経て通信を暗号化してます。 3

© APCommunications Co., Ltd. 2023 Page 68 ６．おわりに SDP 分からん
SDP 完全に理解した SDP SPA Port Knocking Dive into Software-Defined Perimeter ☺ 今はココ！ VPN v.s. SDP ＃１ポートノッキング＃２ Single Packet Authorization（SPA）＃３ VPN v.s. SDP（従来のVPNとSDPを比較）＃４ Software-Defined Perimeter（SDP）

© APCommunications Co., Ltd. 2023 Page 69 本セッションを振り返って「Zero Trust
Network Accessとは？」が理解できる興味体感 Level2 「脱VPNへの一歩：VPNとSDPの違い」が理解・説明できる体験 Level3 Level1 対象者 • ゼロトラストを学習中の方 • VPNとゼロトラストの違いに興味のある方本セッションの目標 = Level2到達「ゼロトラストアーキテクチャ、SDPの仕組み」が理解できる「Zero Trust Network Accessって何？」⇒「ゼロトラストアーキテクチャ、SDPの仕組みが理解できた」となってもらうことが目標

© APCommunications Co., Ltd. 2023 Page 70 Zero Trust Network
Accessとは Zero Trust Network Access（ZTNA）は2種類あります。 PROXY-Based Service-Initiated ZTNA 以降、ZTNAと省略します。 SDP-Based Endpoint-Initiated ZTNA 以降、SDPと省略します。 Zero Trust Network Access（ZTNA）他にも色々今回はこっちもう一方も知りたい

© APCommunications Co., Ltd. 2023 Page 71 告知 Internet Week
2023で続きをお話いたします。 https://internetweek.jp/2023/archives/program/c12 C12 脱VPNへの一歩!! ～ZTNAの必要性と技術解説～ ZTNA羅針盤～攻撃対象領域の極小化の必要性とZTNAについて～ ZTNA展開図～Zero Trust Network Access技術解説～日時：11/21(火) 15:00～16:30 会場：東京大学伊藤謝恩ホール多目的スペース

© APCommunications Co., Ltd. 2023 Page 74 参考URL ▪SDP Specification
v1.0 https://cloudsecurityalliance.org/artifacts/sdp-specification-v1-0/ ▪Software-Defined Perimeter (SDP) Specification v2.0 https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-zero-trust-specification-v2/ ▪ SDP Architecture Guide v2 https://cloudsecurityalliance.org/artifacts/sdp-architecture-guide-v2/ ▪ Software-Defined Perimeter (SDP) and Zero Trust https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-and-zero-trust/ ▪ Software-Defined Perimeter as a DDoS Prevention Mechanism https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-as-a-ddos-prevention-mechanism/ ▪Zero Trust Architecture（NIST SP800-207） https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf ▪ソフトウェア定義の境界とは https://www.zscaler.jp/resources/security-terms-glossary/what-is-software-defined-perimeter ▪How to choose a Zero Trust architecture: SDP or Reverse-Proxy? https://cloudsecurityalliance.org/blog/2021/02/15/how-to-choose-a-zero-trust-architecture-sdp-or-reverse-proxy ▪SPA （Single Packet Authorization）解説 https://cloudsecurityalliance.jp/newblog/2019/08/27/448/ ▪Single Packet Authorization A Comprehensive Guide to Strong Service Concealment with fwknop https://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

© APCommunications Co., Ltd. 2023 Page 75 192.168.12.0/24 192.168.12.0/24 192.168.12.0/24
Q&A Q１：SPA認証後、IPを詐称した攻撃者は正規のユーザになりすますことができますか？ A１：はい。攻撃者はファイアウォールを開けることはできませんが、正規のClientを偽って送信元IPを詐称すれば接続することが可能になります。 SDP Client SSH Client SSH Port22 ＦＷ Client Server Deny access from Client SDP Client SSH Client SSH Port22 ＦＷ Client Server Deny access from Client SDP Client SSH Client SSH Port22 ＦＷ Client Server Allow access from Client SPA パケット SDP Server SDP Server SDP Server SDP Client SSH Client Attacker SDP Client SSH Client Attacker SDP Client SSH Client Attacker 192.168.12.2 192.168.12.1 192.168.12.2 192.168.12.1 192.168.12.2 192.168.12.1 192.168.12.254 192.168.12.1 192.168.12.254

© APCommunications Co., Ltd. 2023 Page 76 Q&A Ｑ２：TunnelCrack攻撃について詳しく説明している書籍等はありますか。Ａ２ー１：以下をご参照ください。
専用サイト：https://tunnelcrack.mathyvanhoef.com/details.html 論文： https://www.usenix.org/system/files/usenixsecurity23-xue.pdf Nian Xue, New York University; Yashaswi Malla, Zihang Xia, and Christina Pöpper, New York University Abu Dhabi; Mathy Vanhoef, imec-DistriNet, KU Leuven. "Bypassing Tunnels: Leaking VPN Client Traffic by Abusing Routing Tables". August 9–11, 2023. https://www.usenix.org/system/files/usenixsecurity23-xue.pdf .(参照 2023-11-14) LocalNet attacks

© APCommunications Co., Ltd. 2023 Page 77 Q&A Ｑ２：TunnelCrack攻撃について詳しく説明している書籍等はありますか。Ａ２ー２：以下をご参照ください。
https://ja.softether.org/9-about/news/905-TunnelCrack なお、TunnelCrack 保護機能を有効にすると、VPN 接続中は、物理的なローカル LAN 上の TCP および UDP 接続が禁止されます。信頼できない公衆 Wi-Fi を利用する場合には、この保護機能は有益です。一方で、ローカル社内 LAN 上でTunnelCrack 保護機能を有効にすると、ローカル社内 LAN など信頼できる LAN 上のサーバーにもアクセスしながら VPN 接続先のリモートサーバーにも同時にアクセスすることができなくなります (VPN 接続を切断するまで、VPN 接続先とのサーバーは通信できますが、ローカルの LAN 上のサーバーと通信できなくなります)。ご注意をお願いします。 TunnelCrack 保護機能がアクティブになる場合、アクティブになるよりも前にすでに確立された TCP 接続は切断されることなく維持されます。アクティブになった後に確立される新たな TCP 接続および UDP 接続が遮断されます。

© APCommunications Co., Ltd. 2023 Page 78 Q&A Ｑ２：TunnelCrack攻撃について詳しく説明している書籍等はありますか。Ａ２ー３：以下をご参照ください。
専用サイト：https://tunnelcrack.mathyvanhoef.com/details.html 論文：https://papers.mathyvanhoef.com/usenix2023-tunnelcrack.pdf Nian Xue, New York University; Yashaswi Malla, Zihang Xia, and Christina Pöpper, New York University Abu Dhabi; Mathy Vanhoef, imec-DistriNet, KU Leuven. "Bypassing Tunnels: Leaking VPN Client Traffic by Abusing Routing Tables". August 9–11, 2023. https://www.usenix.org/system/files/usenixsecurity23-xue.pdf .(参照 2023-11-14) SeverIP attacks

© APCommunications Co., Ltd. 2023 Page 79 Q&A Ｑ３：ゼロトラスト・アーキテクチャ難しいのですがおススメの書籍等はありますか？Ａ３：ゼロトラストの考え方、アーキテクチャのイメージを理解するのに最適なものは
以下の通りです。 https://www.pwc.com/j p/ja/knowledge/column /awareness-cybersecurity/zero-trust- architecture-jp.html NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳ゼロトラストネットワーク[実践]入門ゼロトラストアーキテクチャ入門

© APCommunications Co., Ltd. 2023 Page 80 Q&A Ｑ４：目を通しておいた方が良いNISTのSpecial Publication
を教えてください。Ａ４：ゼロトラスト・アーキテクチャの本文に含まれるものや参考文献をご参照ください。 ※ SP800シリーズは、コンピュータセキュリティ関係のレポートやガイドラインです。番号名称和訳備考 SP 800-63 Digital Identity Guidelines あり日本語訳はあるものの旧版です。最新版はSP 800-63-3で、第4版改定中です。 https://csrc.nist.gov/pubs/sp/800/63/3/upd2/final SP 800-63A Digital Identity Guidelines: Enrollment and Identity Proofing なし最新版：includes updates as of 03-02-2020 https://csrc.nist.gov/pubs/sp/800/63/a/upd2/final SP 800-162 Guide to Attribute Based Access Control (ABAC) Definition and Considerations なし最新版：includes updates as of 08-02-2019 https://csrc.nist.gov/pubs/sp/800/162/upd2/final SP 800-160 v1 Engineering Trustworthy Secure Systems なし最新版：Revision1（November 2022） https://csrc.nist.gov/pubs/sp/800/160/v1/r1/final SP 800-160 v2 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach なし最新版：Revision1（December 2021） https://csrc.nist.gov/pubs/sp/800/160/v2/r1/final SP 800-37 Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy あり最新版：Revision 2（December 2018） https://csrc.nist.gov/pubs/sp/800/37/r2/final

© APCommunications Co., Ltd. 2023 Page 81 Certificate of Competence
in Zero Trust (CCZT) Certificate of Competence in Zero Trust (CCZT) ゼロトラスト能力認定試験 https://cloudsecurityalliance.org/press-releases/2023/11/15/cloud- security-alliance-launches-the-industry-s-first-authoritative-zero- trust-training-and-credential-the-certificate-of-competence-in-zero- trust-cczt/ Cloud Security Alliance Launches the Industry’s First Authoritative Zero Trust Training and Credential, the Certificate of Competence in Zero Trust (CCZT) Zero Trust Foundational Concepts Zero Trust Architecture Software Defined Perimeter NIST and CISA Best Practices Zero Trust Planning Zero Trust Implementation ゼロトラスト哲学の提唱者 John Kindervag氏を含む著名な方々の手引き 90分のオンライン試験です。年内は特価で 175$で受験できます。

SDPのここがすごい！ゼロトラスト勉強会 ～後編～

SDPのここがすごい！ゼロトラスト勉強会 ～後編～

More Decks by AP Communications Co., Ltd.

Other Decks in Technology

Featured

Transcript

SDPのここがすごい！ゼロトラスト勉強会～後編～

SDPのここがすごい！ゼロトラスト勉強会～後編～