VPNの仕組みとゼロトラストネットワーク

Transcript

1. VPNͷ࢓૊Έͱ θϩτϥετωοτϫʔΫ 2019/04/06 TechTalk ͖ͨ͏Β

2. ΞδΣϯμ 2 1.VPNͷ֓ཁ 2.VPNΛඞཁͱ͢Δྫ 3.VPNͷछྨ 4.VPNͷ઀ଓํࣜ 5.VPNͷ࢓૊Έ 6.VPNͰ๷͛Δڻҟ 7.θϩτϥετωοτϫʔΫʁ 8.Beyond

   Corpͬͯʁ 9.ॴײͱ·ͱΊ

3. 1.VPNͷ֓ཁ 3 Virtual Private Networkͷུ Privateͱ໊͕ͭ͘௨Γɺ ϓϥΠϕʔτͳωοτϫʔΫۭؒΛ࡞Γग़͢ͷʹ࢖ΘΕΔٕज़

4. 2-1.VPNΛඞཁͱ͞ΕΔྫ 4 ࣾ಺NW͸؆୯ʹ ֎෦͔ΒΞΫηεͰ͖ͳ͍ ͓΍ɺͰ΋͓࢓ࣄ͢Δͷʹ ඞཁͳγεςϜ͸ࣾ಺NW͔Β ͔͠ΞΫηεͰ͖ͳ͍

5. 2-2.VPNΛඞཁͱ͞ΕΔྫ 5 VPNΛ࢖͏ͱ ηΩϡΞʹࣾ಺NWʹ ϦϞʔτ͔ΒΞΫηεͰ͖Δʂ

6. 3.VPNͷछྨ 6 - ΠϯλʔωοτVPN ɹΠϯλʔωοτ໢Λհͯ͠VPNηογϣϯΛுΔํࣜ - IP-VPN ɹ௨৴ࣄۀऀͷดҬ໢Λհͯ͠ ɹܖ໿ͷ͋ΔϢʔβʔݶఆͰVPNηογϣϯΛுΔํࣜɻ ɹΠϯλʔωοτʹ໘͍ͯ͠ͳ͍ͷͰηΩϡΞͰ͋ͬͨΓɺ

   ɹݶΒΕͨϢʔβʔͷΈ͕ར༻͢ΔͨΊɺ ɹαʔϏεʹΑͬͯ͸ଳҬอূͷԸܙΛ͏͚ΕͨΓ͢Δɻ

7. 4-1.VPNͷ઀ଓํࣜ 7 https://www.infraexpert.com/study/ipsec.html

8. 4-2.VPNͷ઀ଓํࣜ 8 https://www.infraexpert.com/study/ipsec.html

9. 5.VPNͷ࢓૊Έ 9 - τϯωϦϯά - ΧϓηϧԽ - ҉߸Խ - ೝূ

10. 6.VPNͰ๷͛Δڻҟ 10 ʲ౪ௌʳ͙΁΁ɺ IDͱύεϫʔυ ൈ͖औͬͯ΍Δͥ ʲվ᜵ʳ͙΁΁ɺ ৼࠐઌޱ࠲Λมߋͯ͠΍Δͥ

11. 11 θϩτϥετωοτϫʔΫʁ

12. 7-1.θϩτϥετωοτϫʔΫʁ 12

13. 7-2.ۃ୺͚ͩͲɺͭ·Γ͸͜͏͍͏͜ͱ 13 ࣾ಺NW͔Βͷ௨৴ͳΒ ৴པͰ͖Δ͔ΒڐՄʂ ࣾ಺NW͔Βͷ௨৴ͳΒ ৴པͰ͖Δ͔ΒڐՄʂ ֎෦͔Βͷ௨৴͸શ෦৴ ༻Ͱ͖Μʂ ࣾ಺NW͔Βͷ௨৴ͳΒ ৴པͰ͖Δ͔ΒڐՄʂ

    ֎෦͔Βͷ௨৴͸Ұ෦ ड͚෇͚ΔΑʂ ಺෦͔Β͸શ෦OKʂ

14. 7-3.ຊ౰ʹେৎ෉ʁ 14 ࣾ಺NW͔Βͷ௨৴ͳΒ ৴པͰ͖Δ͔ΒڐՄʂ ࣾ಺NW͔Βͷ௨৴ͳΒ ৴པͰ͖Δ͔ΒڐՄʂ ֎෦͔Βͷ௨৴͸શ෦৴ ༻Ͱ͖Μʂ ࣾ಺NW͔Βͷ௨৴ͳΒ ৴པͰ͖Δ͔ΒڐՄʂ

    ֎෦͔Βͷ௨৴͸Ұ෦ ड͚෇͚ΔΑʂ ಺෦͔Β͸શ෦OKʂ ͙΁΁

15. 7-4.৴པͱ͸ɾɾɾ 15 ࣮͸ωοτ ϫʔΫࣗମʹ͸৴པͰ͖Δͱ ͔Ͱ͖ͳ͍ͱ͔ ͳ͍ͷ͔΋͠Εͳ͍ɾɾɾ ࣾ಺NW͔ͩΒେৎ෉ͱ͔ͳ͍͠ɺ ͦ΋ͦ΋શͯͷNW͕θϩτϥετωοτϫʔΫ ʢ৴པͰ͖ͳ͍NWʣ ͳͷ͔΋͠Εͳ͍ɾɾɾ

    ৴པ͍ͨ͠ͷ͸ωοτϫʔΫ͡Όͳͯ͘ɺ ద੾ͳϢʔβʔ कΓ͍ͨͷ͸ωοτϫʔΫ͡Όͳͯ͘ ৘ใࢿ࢈

16. 7-5.ڥքܕωοτϫʔΫͷ՝୊ 16 - ࡢࠓͷSaaS׆༻ͳͲͷӨڹʹΑΔྫ֎ॲཧͷ૿େ - ωοτϫʔΫͷ৴པੑΛ֬อ͢ΔͨΊͷɹɹɹɹ ϫʔΫϩʔυ૿େ - ৴པͰ͖ΔωοτϫʔΫͱ͍͏ͦΕࣗମ͕ɹɹɹ େ͖ͳ੬ऑੑ

17. 7-6.θϩτϥετωοτϫʔΫʁ 17 境界モデルの欠点は、全ମ的な保護に欠けていることにある。 頑丈な֪に覆われた脆弱なମのようなものである。 私たちが本౰に求めているのは 骨と肉が詰まった堅牢なମである。

18. 8-1.BeyondCorp? 18 Google Ͱͷ 8 ೥ʹٴͿθϩτϥετωοτϫʔΫͷ ߏஙΛجʹɺ ίϛϡχςΟ͔ΒدͤΒΕͨ ࠷ળͷΞΠσΞ΍ϕετϓϥΫςΟεΛ Ճຯͯ͠ઃܭ͞ΕͨθϩτϥετηΩϡϦςΟϞσϧΛ

    Google͕࣮૷ͨ͠΋ͷ BeyondCorpʢձࣾΛӽ͑ͯɾɾɾʂʣ https://cloud.google.com/beyondcorp?hl=ja

19. 8-2.BeyondCorpͷݪཧ 19 - ઀ଓݩͷωοτϫʔΫʹΑͬͯɺϢʔβʔ͕ΞΫηεͰ͖Δ αʔϏε͕ܾఆ͞ΕΔ͜ͱ͸ͳ͍ɻ - αʔϏε΁ͷΞΫηεݖݶ͸ɺϢʔβʔͱͦͷσόΠεʹͭ ͍ͯαʔϏεఏڙଆ͕஌͍ͬͯΔ৘ใʹج͖ͮ෇༩͞ΕΔɻ - αʔϏε΁ͷ͢΂ͯͷΞΫηε͸ೝূɺঝೝɺ҉߸Խ͞ΕΔ

    ඞཁ͕͋Δɻ

20. 8-3.BeyondCorpͷ࣮૷ίϯϙʔωϯτ 20 - γϯάϧαΠϯΦϯ - ΞΫηεϓϩΩγ - ΞΫηε੍ޚΤϯδϯ - ϢʔβʔΠϯϕϯτϦ

    - σόΠεΠϯϕϯτϦ - ηΩϡϦςΟϙϦγʔ - τϥετϦϙδτϦ Identity-Aware Proxy(ΞΫηεϓϩΩγ)ͱcontext-aware-accessʢΞΫηε੍ޚʣ https://cloud.google.com/iap https://cloud.google.com/context-aware-access/

21. 9.ॴײͱ·ͱΊ 21 - ੈͷاۀͷ8ׂ͘Β͍ʢݸਓͷओ؍Ͱ͢ɻʣ͸͜ͷڥքܕωοτϫʔΫͰ͋Γɺωοτ ϫʔΫʹΑͬͯ৴པΛஔ͘ͱ͍͏ৗࣝ͸ͳ͔ͳ͔෷১Ͱ͖Δ΋ͷͰ͸ͳ͍ɻੲ͸ͦΕ ͰΑ͔ͬͨ͠ɺͦΕͰे෼ͩͬͨΜͩɾɾɾͦΜͳதͰθϩτϥετωοτϫʔΫͱ ͍͏৽ͨͳબ୒ࢶɻ - θϩτϥετωοτϫʔΫΛֶΜ্ͩͰ΋ɺVPN΍IPϕʔεͷΞΫηε੍ݶ͸खஈͱ͠ ͯ༗ޮͳҰ໘͕͋Δ͜ͱʹ͸มΘΓͳ͍ͷͰҰ֓ʹഉଞ͢Δ΋ͷͰ΋ͳ͍ͱ͸ࢥ͏ɻ

    ୠ͠ɺ࣮૷࣌ͷߟྀࣄ߲ͱͯ͠ɺτϥετωοτϫʔΫͷ੬ऑੑΛվΊͯৼΓฦΕΔ ͱྑͦ͞͏ɾɾɾʂɹɹɹɹɹ - IPΞυϨεͷ੍ݶ͚ͩͰ҆৺͍ͯ͠ΔγεςϜ͕ͳ͍͔ɺؾ͕؇ΜͰ͍ͳ͍͔֬ೝΛʂ

22. 22 ͝੩ௌ͋Γ͕ͱ͏ޚ࠲͍·ͨ͠