何をお探しですか?
インラインTLS複合化および暗号化

キーサイトのInline Decryption
ほとんどのトラフィックが暗号化されエフェメラルキーが主要技術になる中で、企業はネットワークとユーザーを保護するためトラフィック中にある脅威やマルウェアを検知できる一方で、トランスポート・レイヤー・セキュリティ(TLS)1.3の利点を維持する方法を必要としています。
SecureStack機能セットの新しいInline Decryption機能を使えば、企業は可視化プラットフォーム経由でエフェメラルキー暗号を使う内部トラフィックを見ることができます。 キーサイトのInline Decryptionは送受信トラフィックをインライン、アウトオブバンドツール両方で使用でき、またNetStack、PacketStack、AppStack機能と同時に使用することが可能です。 Inline Decryption機能は、高性能でロスレスな可視化を提供するターンキー方式のネットワーク・パケット・ブローカーVision ONE™、Vision Xと互換可能な分離された高性能アプリケーションモジュール経由でご利用できます。 専門の暗号プロセッサで、Inline Decryptionは可視化ソリューションに統合された優れたスループットを提供します。 さらに、内蔵されたポリシー管理、ユニフォーム・リソース・ロケーター(URL)の分類、主要な暗号のサポート、そしてレポート作成も含まれます。
セキュリティのジレンマ

企業はインターネットエクスチェンジを暗号化して自身やユーザーを保護し、特にクレジットカード番号や社会保障番号などの機密情報を保護します。2017年時点、FirefoxとGoogleは自社のブラウザ経由で訪れたサイトのうち75 %はトラフィックを暗号化していると発表しました。 暗号化は個人情報の窃盗、セキュリティ侵害、データ漏洩などの防止に役立ちます。 しかし、トロイの木馬のように暗号はマルウェアや他の脅威がネットワークに侵入する隠れ蓑となるかもしれません。 ガートナーの予測によれば、2020年までに60 %以上の企業がHypertext Transfer Protocol Secure(HTTPS)を効率的な復号化に失敗し、最も標的となるウェブマルウェアを見過ごすだろうと言われています。 しかもハッカーたちはより巧妙になり、一部の暗号はより脆弱になっています。
このジレンマに対する解決方法は2つあります:
- 不正アクセスされにくい暗号化技術を使う
- すべての暗号化トラフィックを、企業のセキュリティ/モニタリングポリシーとして検査し脅威を見つける
なぜエフェメラルキーなのでしょうか
ともに一般的にはSSLと呼ばれるセキュア・ソケット・レイヤー(SSL)とトランスポート・レイヤー・セキュリティ(TLS)は、コンピューターネットワークでの通信を保護するためデータがスクランブル状態あるいはコード化されている技術です。 右側の図のように、これはサーバーから提供されたパブリックキー経由でコード化されインターネットに伝送される情報を交換する技術です。 受け手側(サーバー)はデータの復号化ができます。なぜなら方式の半分であるプライベートキーを有しているからです。
暗号化技術は、スタティックキーを使うRivest-Shamir-Adleman (RSA)が主流でした。 つまり、サーバーは通信用のキーを持っているということです。 現在、もしこのキーが何かの形で損なわれたら、そのサーバーからの通信が晒されてしまいます。 この懸念を解決するため、多くの企業や規制団体はエフェメラルキー暗号化、最も一般的なのが新しいキーが交換ごとに生成されるElliptic curve Diffie–Hellman ephemeral (ECDHE)を使用し義務付ける方向にシフトしています。

Perfect Forward Secrecy(完全な前方秘匿性)とTLS 1.3

スタティックキーを実物の鍵のように考えてください。もし盗まれたり複製されてしまったら、その鍵でロックされたあらゆる通信にアクセスできてしまいます。 翻ってエフェメラルキーはモバイルアプリによって特定の交換向けに生成される、数字のようなものです。 もし数字が盗まれても、その1つの交換をロック解除するのに使われるだけです。 他のすべての交換はまだ保護されています。 このperfect forward secrecy(完全な前方秘匿性)こそがエフェメラルキーが最強である所以なのです。
Google、Facebook、Mozilla、その他のテクノロジー企業のリーダーたちは、ユーザー向けの優れたセキュリティを提供するために暗号化用エフェメラルキーへの移行を発表しました。 Internet Engineering Task Force (IETF)による最新TLSプロトコル規格TLS 1.3はエフェメラルキー交換を支持します。
キーサイトのInline Decryption
TLS復号化をオフロード
ネットワークトラフィックを一度復号化したら何度も調査し、セキュリティとモニタリングインフラストラクチャをスケーリングします。 TLS復号化がツールのキャパシティの60~80 %を占めます。つまりほとんどの時間をより重要なトラフィック調査よりも復号化に費やしているのです。 しかも、ツールの中にはTLSトラフィックを復号化さえできないものもあります。
TLS復号化をオフロードすることで、次のことが可能になります。
- セキュリティとモニタリングツールの投資に対し、より高い投資収益率(ROI)を実現
- セキュリティおよびモニタリングツールの性能の向上
- セキュリティおよびモニタリングのインフラ機能拡張が可能
- 暗号化されたトラフィック、エフェメラルキーで暗号化されたトラフィックの完全な可視化

インラインとアウトオブバンド(OOB)
Inline Decryptionはインラインおよびアウトオブバンドツール展開両方に使用できます。
- インライン: ネットワークに入出するトラフィックを移動中に調査します。 Inline Decryptionを使用すれば、ネットワーク・パケット・ブローカーに入るデータを復号化しセキュリティおよび監視ツールに伝送します。 調査後、ツールはデータをネットワーク・パケット・ブローカーに返送し、そこでInline Decryption機能で再暗号化します。 デフォルト設定で同じ暗号が使われますが、必要なポリシーを適用することができます。 その後データはネットワークへと戻ります。 最適なセキュリティのため、この作業はアクティブ-アクティブな回復力のあるアーキテクチャーでバイパススイッチを用いて行われます。 エフェメラルキーでデータを再暗号化することで、調査を実行しながらネットワークセキュリティを確保し、両方の長所を活用します。
- アウトオブバンド:トラフィックがネットワーク・パケット・ブローカーに入り、復号化、複製され、アウトオブバンドセキュリティおよび監視ツールに伝送されます。 これらのツールはこの復号化トラフィックを使ってアラートを生成します。
- 同時展開:キーサイトのVision ONEおよびVision Xでインラインとアウトオブバンドモード両方を同時に使用することができます。 そのため各モードに適したセキュリティおよび監視ツールが同じ展開で使用可能になります。

際限なき可視化
Inline DecryptionをキーサイトのNetStack、PacketStack、AppStack機能と合わせて使用し、フレキシブルで際限のない可視化を実現。
キーサイト製品で、トラフィックの復号化、パケットのトリミング、ヘッダーの削除その他をアウトオブバンド・セキュリティ・ツールへ伝送前に行うことが可能になります。 これによりツールの効率と動作寿命が向上します。 Application Identificationが、Data Masking Plusを使用してもしなくても、特定のアプリケーションをこれらのツールに送ったりあるいは削除することができ、個人を特定できる情報(PII)を保護することができます。 地域、ブラウザタイプ、アプリケーションタイプ、およびカスタムアプリさえも使って、アウトオブバンドツールに転送するトラフィックを選別することができます。
インライン展開向けInline Decryptionは完全に透明性があり、手動プロキシ設定をクライアント側で行う必要がありません。 内蔵のロードバランス機能や不良インラインデバイスのハートビート検出機能を使って、サービスチェーンやTLS復号化/Netflowの豊富な生成などのオフロード作業を維持しながらVision ONEもしくはVision Xの高性能で回復力の高いセキュリティ展開をすることが可能です。
多数の機能を同時に使用することで、ツールの効率的な動作が可能になる一方で最適化されたセキュリティポリシーの実施を確保します。 セキュリティおよび監視ツールの寿命を向上 キーサイトのバイパススイッチとThreatARMORを追加すると、高い信頼性と効率性を兼ね備えた最適化された効果的なセキュリティ展開を実現できます。

管理が容易に
Inline Decryption機能はVision ONEもしくはVision Xネットワーク・パケット・ブローカーのセットアップや展開をするうえで、設定や管理が容易です。
Vision ONEおよびVision Xは同時進行の複数のコンテクストのセキュリティやサポートを最大限活用するためのフレキシブルなポリシー設定も可能です。
高スループットのアップグレードは簡単なライセンス変更で簡単に行えます。 Vision ONEは1G、2G、4G、10Gのライセンスを提供しています。 構成変更を必要とする追加のハードウェアや大規模なアップグレードはライセンス移行の際必要ありません。 Vision X はCPUごとに1つのライセンスを最高25Gで提供します。

リアルタイム解析
キーサイトのInline Decryptionにはスループット、セッション、暗号データの詳細を含むリアルタイムのオンスクリーン解析機能が備わっています。 マウスオーバー/ドリルダウン機能内蔵で、データすべてを追跡可能です。 Inline Decryptionはまたエラーやエクセプションロギング、過去のデータへのアクセス機能を含みます。

主要な暗号をサポート
Inline DecryptionはすでにTLS 1.3で記載された多くの主要な暗号をサポートしており、新しい暗号も今後継続して追加される予定です。
サポートされる暗号 | KX | AU | ENC | MAC | |
---|---|---|---|---|---|
TLS13-AES-256-GCM-SHA384 | TLSv1.3 | - | - | AES-128-GCM | AEAD |
TLS13-CHACHA20-POLY1305-SHA256 | TLSv1.3 | - | - | AES-128-GCM | AEAD |
TLS13-AES-128-GCM-SHA256 | TLSv1.3 | - | - | CHACHA20-POLY1305 | AEAD |
TLS13-AES-128-CCM-8-SHA256 | TLSv1.3 | - | - | AES-128-CCM | AEAD |
TLS13-AES-128-CCM-SHA256 | TLSv1.3 | - | - | AES-128-CCM-8 | AEAD |
ECDHE-RSA-AES128-GCM-SHA256 | TLSv1.2 | ECDH | RSA | AESGCM(128) | AEAD |
ECDHE-ECDSA-AES128-SHA | SSLv3 | ECDH | ECDSA | AES(128) | SHA1 |
ECDHE-RSA-AES256-SHA384 | TLSv1.2 | ECDH | RSA | AES(256) | SHA384 |
ECDHE-ECDSA-AES256-SHA384 | TLSv1.2 | ECDH | ECDSA | AES(256) | SHA384 |
ECDHE-ECDSA-AES128-GCM-SHA256 | TLSv1.2 | ECDH | ECDSA | AESGCM(128) | AEAD |
ECDHE-RSA-AES256-GCM-SHA384 | TLSv1.2 | ECDH | RSA | AESGCM(128) | AEAD |
ECDHE-ECDSA-AES256-GCM-SHA384 | TLSv1.2 | ECDH | ECDSA | AESGCM(128) | AEAD |
DHE-RSA-AES128-GCM-SHA256 | TLSv1.2 | DH | RSA | AESGCM(128) | AEAD |
DHE-RSA-AES256-GCM-SHA384 | TLSv1.2 | DH | RSA | AESGCM(128) | AEAD |
ECDHE-RSA-AES128-SHA256 | TLSv1.2 | ECDH | RSA | AES(128) | SHA256 |
ECDHE-ECDSA-AES128-SHA256 | TLSv1.2 | ECDH | ECDSA | AES(128) | SHA256 |
ECDHE-RSA-AES128-SHA | SSLv3 | ECDH | RSA | AES(128) | SHA1 |
DHE-RSA-AES256-SHA | SSLv3 | DH | RSA | AES(256) | SHA1 |
ECDHE-RSA-DES-CBC3-SHA | SSLv3 | ECDH | RSA | 3DES(168) | SHA1 |
ECDHE-ECDSA-DES-CBC3-SHA | SSLv3 | ECDH | ECDSA | 3DES(168) | SHA1 |
AES128-GCM-SHA256 | TLSv1.2 | RSA | RSA | AESGCM(128) | AEAD |
AES256-GCM-SHA384 | TLSv1.2 | RSA | RSA | AESGCM(256) | AEAD |
AES128-SHA256 | TLSv1.2 | RSA | RSA | AESGCM(128) | SHA256 |
AES256-SHA256 | TLSv1.2 | RSA | RSA | AES(256) | SHA256 |
AES128-SHA | SSLv3 | RSA | RSA | AES(128) | SHA1 |
AES256-SHA | SSLv3 | RSA | RSA | AES(256) | SHA1 |
ECDHE-RSA-AES256-SHA | SSLv3 | ECDH | RSA | AES(256) | SHA1 |
ECDHE-ECDSA-AES256-SHA | SSLv3 | ECDH | ECDSA | AES(256) | SHA1 |
DHE-RSA-AES128-SHA256 | TLSv1.2 | DH | RSA | AES(128) | SHA256 |
DHE-RSA-AES128-SHA | SSLv3 | DH | RSA | AES(128) | SHA1 |
DHE-RSA-AES256-SHA256 | TLSv1.2 | DH | RSA | AES(256) | SHA256 |
ECDHE-ECDSA-CHACHA20-POLY1305 | TLSv1.2 | ECDH | ECDSA | CHACHA20/POLY1305(256) | AEAD |
ECDHE-RSA-CHACHA20-POLY1305 | TLSv1.2 | ECDH | RSA | CHACHA20/POLY1305(256) | AEAD |
DHE-RSA-CHACHA20-POLY1305 | TLSv1.2 | DH | RSA | CHACHA20/POLY1305(256) | AEAD |
CAMELLIA128-SHA256 | TLSv1.2 | RSA | RSA | CAMELLIA(128) | SHA256 |
CAMELLIA256-SHA256 | TLSv1.2 | RSA | RSA | CAMELLIA(256) | SHA256 |
DHE-RSA-CAMELLIA128-SHA256 | TLSv1.2 | DH | RSA | CAMELLIA(128) | SHA256 |
DHE-RSA-CAMELLIA256-SHA256 | TLSv1.2 | DH | RSA | CAMELLIA(256) | SHA256 |
-
「TLS 1.3規格がエフェメラルキーを実装する中、企業は復号化や暗号化トラフィックの検査がより複雑でリソースを必要とするものだと気づくでしょう。 Inline Decryptionのようなソリューションを使用することで、企業はネットワーク、モニタリングツール、セキュリティデバイスへの混乱を低減しながら、現在のネットワークトラフィックを効率的に可視化することができます。」
ESG、アナリスト、DAN CONDE氏
Inline Decryptionでインラインセキュリティを実現
Inline Decryptionはキーサイトのフェールセーフなセキュリティアーキテクチャーにシームレスに統合し、インライン展開を行います。 Inline Decryptionとキーサイトの脅威インテリジェンスゲートウェイ、ThreatARMOR™を組み合わせると、継続的なトラフィック調査およびほぼ即座に回復を確保するアクティブ-アクティブな高可用性構成で、悪質なインターネットプロトコル(IP)をブロック、暗号化トラフィックを処理、そしてネットワークを保護するさらに強靭なインラインアーキテクチャーを構築できます。

関連情報
ご要望、ご質問はございませんか。