More Related Content Similar to 180529-仮想化環境のあらゆる脅威対策(VMware NSX+Juniper vSRX_QFX)(VMwareセミナ) (20) 180529-仮想化環境のあらゆる脅威対策(VMware NSX+Juniper vSRX_QFX)(VMwareセミナ)1. © 2018 Juniper Networks
仮想化環境のあらゆる脅威対策に、
ハイパフォーマンスに投資効果の
高い
インフラをつくるならこれ!
.
~ JUNIPER + VMWARE NSX SOLUTION ~
2018/5/29
VMWARE
NSXセミナー
2. © 2018 Juniper Networks
ジュニパーネットワークス
ROUTING SWITCHINGSECURITY
VIRTUAL PHYSICAL
Engineering. Simplicity.
&
Self-Deiving Network
3. © 2018 Juniper Networks
AGENDA
3
• セキュリティ市場とJuniper SDSN
• Juniper セキュリティプロダクトの特徴
• VMware NSX連携 セキュリティ連携
• VMware NSX + Juniper 連携
• まとめ
4. © 2018 Juniper Networks
AGENDA
4
• セキュリティ市場とJuniper SDSN
• Juniper セキュリティプロダクトの特徴
• VMware NSX連携 セキュリティ連携
• VMware NSX + Juniper 連携
• まとめ
5. © 2018 Juniper Networks
80%
ブラックハット
ハッカーが犯罪
組織の一員であ
る割合
230¥
サイバー犯罪損害額予想
兆
2019年
357億
新しいマルウェア数
1IN131
過去5年間で最多のマルウェアメール
1100億
2017年に漏えいした個人情報数
36万
ランサムウェア攻撃数
Source: Symantec Internet Security Threat Report 2017, Verizon 2016 Data Breach Investigations Report
サイバー犯罪の脅威拡大
※2016
※2016
6. © 2018 Juniper Networks
サイバーセキュリティ人材の不足
情報システム部門におけるサイバーセキュリティ人材の
不足状況
(a) 不足している(概ね10人以上の不足)
(b) 不足している(概ね5人以上の不足)
(c) 不足している(概ね5人未満の不足)
(d) 既に人材が配備されており、不足していない
(e) わからない
内閣サイバーセキュリティセンター
平成28年度 「企業のサイバーセキュリティ対策に関する調査」
http://www.nisc.go.jp/inquiry/pdf/kigyoutaisaku_gaiyou.pdf
85パーセント以上の企業でセキュリティ人材が不足
(a)9.4%
(b)20.0%
(c)55.3%
7. © 2018 Juniper Networks
無意識のうちに感染
!
Arrivals Departures
www.pdf.com
9. © 2018 Juniper Networks 9
拡大・多様化するネットワークを
いかに守るか?
線で守る境界防御から、ネットワーク全体を面で守る
SDSN –Software Defined Secure Network -
10. © 2018 Juniper Networks
SDSNはこれらの脅威拡散防止
C&C サーバー
隔離
Security Director +
Policy Enforcer
01010101010101010 01110101 01101110 01101001 01110000
SRX/vSRX
Sky ATP
スイッチ連携
感染ホストの特定
ボットネット
ワーム/ トロイの木馬
エンドポイン
トに最も近い
位置で
アクセス制御
11. © 2018 Juniper Networks
ネットワークを全体を面で守るSDSN
“脅威は内部にも侵入する”という前提へ
C&Cサーバ
指令サーバ
フィッシング攻撃
ウィルス攻撃
ハッキング
攻撃
文書埋め込み型
攻撃
内部感染の対策ができな
い
感染した
システム
今までのセキュリティは
社内ネットワークの安全が前
提
内部感染も対策
感染した
システム
ロトラストセキュリティモデル~ネットワーク全体をセキュアなネットワーク
フィッシング攻撃
ウィルス攻撃
Off Network
Walk-in Threats
Off Network
Walk-in Threats
文書埋め込み型
攻撃
ハッキング
攻撃
C&Cサーバ
指令サーバ
外部(アントラスト)
内部(トラスト)
外部(アントラスト)
内部(アントラスト)
12. © 2018 Juniper Networks
脅威の検出 対策の遅延
ベンダー固有の脅威フィー
ドと
管理者による内容の把握
複数チームにまたがる対策
脅威対策の自動化
ネットワークとセキュリティを横断し
た自動化
オープンAPIと 3rd パーティーの脅威フィード
対応
結合した脅威管理システム
SDSN: 脅威の自動修復 ~セキュリティ人材枯渇対策に
も~
インシデント
発生
ネットワーク管
理者
セキュリティ管
理者
エンドポイン
ト
セキュリティ
マルウェ
ア
発見
チケッ
ト
フィー
ド
フィー
ド
手動による脅威対策
チケッ
ト
13. © 2018 Juniper Networks
SDSN:統合されたサイバーセキュリティ―プラット
フォーム
ユーザーとプリケーションモビリティ対応ユーザーとプリケーションモビリティ対応
ネットワークとファイアウォールレイヤーのエン
フォースメント
ネットワークとファイアウォールレイヤーのエン
フォースメント
オンプレミスとクラウドの一貫したセキュリティポ
リシー
オンプレミスとクラウドの一貫したセキュリティポ
リシー
多様なエコシステムアプローチ多様なエコシステムアプローチ
アクセス
ユーザー
パブリッククラウド
SaaS
データセンタ
プライベートクラウド
デバイス
コネクティビ
ティ
マルチドメイン・ハイブリッドクラウド環境での物理と仮想環境の脅威拡散を防止
複雑さを排除し一貫したセキュリティモデルの適用
14. © 2018 Juniper Networks
SDSN
SDSNのサードパーティ連携
CBの脅威情報を自動的に取得
し、最新の攻撃手法を検知
CBの脅威情報を自動的に取得
し、最新の攻撃手法を検知
JATPの脅威情報に基づいて、
感染ホストを自動的に隔離
JATPの脅威情報に基づいて、
感染ホストを自動的に隔離
レイヤ7および脅威対策を含む
高度なマイクロセグメンテーション
を提供
レイヤ7および脅威対策を含む
高度なマイクロセグメンテーション
を提供
AWSの仮想化環境で
感染した仮想マシンを隔
離
AWSの仮想化環境で
感染した仮想マシンを隔
離
NACを活用して、サードパー
ティ製スイッチで感染ホストを
隔離
NACを活用して、サードパー
ティ製スイッチで感染ホストを
隔離
Contrail 配下のネット
ワークにおいて、脅威対策
の自動化
Contrail 配下のネット
ワークにおいて、脅威対策
の自動化
15. © 2018 Juniper Networks
検知
• クラウドと連携したリアルタイムセキュリティ
脅威検出
• 広範囲のセキュリティサービス適応と検討
• 外部からの攻撃だけでなく、内部の情報流出に
も対応
.
ポリシー
ユーザーインテントベース ポリシーモデル
複数のドメインをまたがった一貫したポリシー
堅牢で一元化されたか可視性と管理
.
試行・エンフォースメント
• 高スケール・高パフォーマンスのエンフォース
メントポイント
ネットワークの様々なポイントでエンフォース
メント
エンドトゥーエンドのセキュリティポートフォリオ
Network as a single enforcement domain - Every element is a policy enforcement point
16. © 2018 Juniper Networks
AGENDA
16
• セキュリティ市場とJuniper SDSN
• Juniper セキュリティプロダクトの特徴
• VMware NSX連携 セキュリティ連携
• VMware NSX + Juniper 連携
• まとめ
17. © 2018 Juniper Networks
Branch Campus Data Center Service Provider
SRX5800
100,000
SRX5600
70,000
SRX340/SRX345
1,000/2,000
SRX1500
10,000
SRX550M
5,000
SRX4100
20,000
SRX4200
35,000
SRX5400
50,000
1RU
5Gb/s
1RU
20Gb/s
1RU
40Gb/s
5RU
480Gb/s
8RU
960Gb/s
2RU
5.5Gb/s
vSRX
200~20,000(10M~4Gb/s)
4Gb/s (2 vCPU)
25Gb/s (16 vCPU)
Cloud
Security Director
Policy Enforcer
16RU
2Tb/s
Sky Advanced
Threat Prevention
&
JATP
Secure Analytics
管理、可視化、自動化 SIEM アンチマルウェア・ゼロデイ攻撃
cSRX*
1RU
1.7/3Gb/s
Juniper アドバンスドセキュリティ ポートフォリオ
SRX4600
60,000
1RU
95Gb/s
前例の無いスケーラビリティー
ルーティング、スイッチング、セキュリティを
1台に集約
18. © 2018 Juniper Networks
広範囲なセキュリティサービスをご提供
SRX 基本サービスSRX 基本サービス
次世代
ファイアウォールサービス
次世代
ファイアウォールサービス
ファイアウォール アドレス変換(NAT) VPN ルーティング
アプリケーションの
可視化と制御
ユーザベース
ファイアウォール
UTM
(既知の脅威に対する対策)
UTM
(既知の脅威に対する対策)
アンチウィルス
不正侵入防御(IPS)
ウェブ/コンテンツ
フィルタリング
アンチスパム
脅威インテリジェンス
プラットフォーム
脅威インテリジェンス
プラットフォーム
ボットネット/C&C
GEO-IP
独自のリスト, APT
マネージメント レポーティング 分析
自動化(オートメーショ
ン)
高度な脅威防御
(ゼロデイ)
高度な脅威防御
(ゼロデイ)
サンドボックス
マルウェア回避
豊富なレポーティングと
分析機能
NGFW SRX Sky ATP・JATP
19. © 2018 Juniper Networks
SRXとセキュリティテクノロジーの関係
アプリケーション・
コントロール
IPS/IDS
アンチウィル
ス
ブラックリスト サンドボックス
アプリケーションの
可視化・制御
ネットワーク攻撃
不正アクセス
既知マルウェア
システムと
C&Cサーバ
既知マルウェア
未知マルウェア
ジュニパー
SRX
アプリケーション・コ
ントロール
AppSecure
IPS/IDS
IDP
アンチウィルス
Anti-Virus
SkyATP
ブラックリスト
Spotlight
Secure/GeoIP
SkyATP
サンドボックス
Sky ATP
JATP
SRXは様々な脅威に対応することができる業界最高水準のセキュリティサービス・ゲートウェイ
20. © 2018 Juniper Networks
3,600種類以上の
アプリケーション
を識別
App Tracking
App QoS
App Firewall
App Routing
トラフィックを可視化したい
特定のアプリケーションの経路を変更したい
特定のアプリケーションをブロック
したい
特定のアプリケーションにQoSを適用した
い
アプリケーションの可視化とコントロール
Juniper NetworksのSRXは識別したアプリケーションに対して
可視化、経路制御、ポリシー、QoSを適用させることが可能。
21. © 2018 Juniper Networks
SRX & Junos
仮想化環境
VM1 VM2 VM3 VM4
vSRX
仮想アプライアンス型サービス・ゲートウェイ
集約されたセキュリティ機能を提供
VSRX –SRXの仮想アプライアンス
22. © 2018 Juniper Networks
• 最小2コアのvCPUから構成
• コントロールプレーンとデータプ
レーンでvCPUを分割
• データ転送用のcore数は1, 4, 8,
16と追加することでパフォーマ
ンスをリニアに加速
VSRX –SRXの仮想アプライアンス
vSRX VM
低リソースで高パフォスーマンスを実現
~サーバーリソース投資削減し高い投資効果
仮想Coreの割り当てを増やすことで
最大100Gまで拡張可能なアーキテクチャ
23. © 2018 Juniper Networks
VSRX パフォーマンス試験 (VMWARE 5.5 SRIOV有効)
10.5
19.7G
40
78.8G
0
20
40
60
80
100
0 2 4 6 8 10
FWTHROUGHPUT
GBPS(1514B)
# OF VSRX INSTANCES
vSRX 2.0
割り当てるvCPUによりリニアにパフォーマンスはスケール
All the Above numbers are tested on Dell servers
• VMware5.5+SRIOV-2.4Ghz Server – R820- 24 cores *2.393Ghz
※KVM
12vCPUで100G
サーバー一台あたり
~80G ファイアウォール
24. © 2018 Juniper Networks
Branch Campus Data Center Service Provider
SRX5800
100,000
SRX5600
70,000
SRX340/SRX345
1,000/2,000
SRX1500
10,000
SRX550M
5,000
SRX4100
20,000
SRX4200
35,000
SRX5400
50,000
1RU
5Gb/s
1RU
20Gb/s
1RU
40Gb/s
5RU
480Gb/s
8RU
960Gb/s
2RU
5.5Gb/s
vSRX
200~20,000(10M~4Gb/s)
4Gb/s (2 vCPU)
25Gb/s (16 vCPU)
Cloud
Security Director
Policy Enforcer
16RU
2Tb/s
Sky Advanced
Threat Prevention
&
JATP
Secure Analytics
管理、可視化、自動化 SIEM アンチマルウェア・ゼロデイ攻撃
cSRX*
1RU
1.7/3Gb/s
Juniper アドバンスドセキュリティ ポートフォリオ
SRX4600
60,000
1RU
95Gb/s
前例の無いスケーラビリティー
ルーティング、スイッチング、セキュリティを
1台に集約
25. © 2018 Juniper Networks
• 脅威状態の可視性
• ルールの自動配置
• ユーザーエラーの軽減
• 修復時間の改善
Security Director – ネットワークセキュリティ管理 -
多数のSRXを一元的に設定管理・可視化
ダッシュボード
アプリとユーザーの可視化
イベントとログの管理
脅威の可視化
26. © 2018 Juniper Networks
SECURITY DIRECTOR & POLICY ENFORCER
vSRX or
SRX
Security
Director
Juniper
SKY
ATP
3rd Party
EMS
3rd パーティ
エンフォースメ
ント
パブリッククラウド
プライベートクラウド
• ドメインを超えたデータノーマライゼー
ション
• 複数ドメインのポリシー拡大
• 異なるドメインにまたいだワークフロー
Policy Enforcer
Switch Micro-
Service
EX/QFX
• SRX, vSRX and cSRXの一元管理
• 同一セキュリティーポリシーの展開
モニタリング、ロギング、etc.
Security Director
同一セキュリティポリシーを マルチドメインで共通ポリシーとして
27. © 2018 Juniper Networks
広範囲なセキュリティサービスをご提供
SRX 基本サービスSRX 基本サービス
次世代
ファイアウォールサービス
次世代
ファイアウォールサービス
ファイアウォール アドレス変換(NAT) VPN ルーティング
アプリケーションの
可視化と制御
ユーザベース
ファイアウォール
UTM
(既知の脅威に対する対策)
UTM
(既知の脅威に対する対策)
アンチウィルス
不正侵入防御(IPS)
ウェブ/コンテンツ
フィルタリング
アンチスパム
脅威インテリジェンス
プラットフォーム
脅威インテリジェンス
プラットフォーム
ボットネット/C&C
GEO-IP
独自のリスト, APT
マネージメント レポーティング 分析
自動化(オートメーショ
ン)
高度な脅威防御
(ゼロデイ)
高度な脅威防御
(ゼロデイ)
サンドボックス
マルウェア回避
豊富なレポーティングと
分析機能
NGFW SRX Sky ATP・JATP
28. © 2018 Juniper Networks
SKY ADVANCED THREAT PREVENTION
クラウドベース
• クラウドサーバとファイアウォールがリアルタイム連携
• クラウドリソースを活かした分析とレポーティング
• 全世界で共有・蓄積されるセキュリティ脅威情報
多段的な検知スキーム
• 未知のマルウェアを検出するための複数の検知方法
• 独自の誘発メカニズム(特許技術)を使用した挙動解析
• 最新のボットネットデータを使用した通信の識別
• IPアドレスの国別情報によるフィルタリング
SkyATP
インターネット
SRX
悪意のあるファイルをクラウドにて分析し、
予測不可能なゼロデイ攻撃や未知のマルウェアに対応す
る
強固なネットワークセキュリティを実現
29. © 2018 Juniper Networks
SKY ATP マルウェア検知の詳細
危険度レベルによって感染ホストとして
認識しアクション(e.g.SRXの通信遮断)
・キャッシュ情報による検知 → 1秒以内
以前の検知情報を即座に照合
ファイルのダウンロードが終わる前に遮断
・シグネチャ照合による検知 → 5秒以内
常に最新のシグネチャ情報を使用した照合
複数のアンチウイルスエンジンでスクリーン
・静的分析による検知 → 30秒以内
ソフトウェアコードを構造的に解析
高度な機械学習アルゴリズムを利用
・動的分析による検知 → 7分以内
仮想クライアント環境を使用した動的分析
マルウェアを誘発させる独自の技術を導入
Sky ATP での処理の流れと対応時間
未知の脅威でも最大7分(他社は最大30程度を要す)
30. © 2018 Juniper Networks 30
JUNIPER ADVANCED THREAT PREVENTION/CYPHORT
先進的な分析
他社を含む複数のデータソースをサポート データ取込 蓄積 分析 可視化
最適化された記録
無限のスケール
汎用ハードの利用
挙動分析
(オブジェクト、ネットワー
ク、ML)
異常動作検出
(ルール、ML)
優先順位、リスク分析
相関付け
時系列
脅威の移動
事象ビュー
脅威の駆逐
他
SmartCore
ANALYTICS ENGINE
SmartCore
ANALYTICS ENGINE
ポリシ適用・感染確認
サードパーティ
フィード
他社ソリューショ
ン
Collector
未知の脅威検知 迅速な対応
JATP のセンサーとサードパーティ
製品の両方からネットワーク全体
の情報を収集
ふるまい検知サンドボックス、機械学習機
能、脅威インテリジェンスによる高度分析に
より、リスクレベルと優先順位を判断
分析結果を元に自動的
に感染範囲の特定、感
染端末の隔離
オンプレ環境で様々な脅威をサードパーティ含め情報収集し脅威の可視化と制御
が可能
31. © 2018 Juniper Networks
JATPによるキルチェーン
31
フィッシングメールの
受信を検知
フィッシングメールにある悪意のある
URLをクリックし、マルウェアをダウ
ンロード
PC端末 (エンドポイント)の
Symantec がマルウェアをブ
ロック
マルチベンダ環境でのネットワーク全体の脅威状況と影響範囲を可視化
エンドポイントがブロック
したため他に影響が
無いことがわかる
32. © 2018 Juniper Networks
AGENDA
32
• セキュリティ市場とJuniper SDSN
• Juniper セキュリティプロダクトの特徴
• VMware NSX連携 セキュリティ連携
• VMware NSX + Juniper 連携
• まとめ
33. © 2018 Juniper Networks
VMWARE NSX連携 セキュリティ連携
1. NSXチェイニング vSRX連携 – 次世代FW.
マイクロセグメンテーションに、L7やIPS(18,000以上攻撃パター
ンシグニチャを
検知&防御)による高レベルのセキュリティを提供
2. SkyATP metadata連携 – マルウェアや未知の脅威対
策
.
既知・未知のマルウェなど、高度な脅威を検知し、
metadata/security TAGにより拡散マシン単位で拡散防止
34. © 2018 Juniper Networks
1. VSRX INTEGRATION WITH NSX
L4-L7のアドバンスドセキュリティ(Appsecure & IPS)セキュリティの強化
オーバーレイ
ネットワーク VM
ESXi
VM VM
ESXi
VM
NSX
vSRX vSRX
クラスタ単位で
vSRXを自動展開
仮想NW管理者 セキュリティ管理者
分散FWが通信を
vSRXにリダイレクト
Security Director/Policy Enforcer
低リソース消費(2vCPU, 4G メモリ)で容易に展開
35. © 2018 Juniper Networks 35
グループベース インテント ポリシー
インター
ネット
Finance
Sales
CEO
全アプリ許可
IPS有効
Skype最優先
P2Pはブロック
YouTubeは許可
IPS有効
P2P, YouTubeはブロック
IPS有効
部署や役割グループを元にSecurity Groupを設定し、
役割に応じた異なるアプリケーションセキュリティポリシー
Security
Group情報
vSRX・SRX
NSX
Dynamic Address
Group
ベースのセキュリティポ
リシー
Security Director/
Policy Enforcer
36. © 2018 Juniper Networks
NSX INTEGRATION – VSRXの初期セットアップ
NSX
Manager
Security
Admin
Cloud Admin
Security Director
Policy Enforcer
ESXi Host-1
NSX Virtual Switch
VM VM
ESXi Host-2
NSX Virtual Switch
VM VM
ToR Switch
1 SDがvSRXサービスをNSXに登録
1
vSRX vSRX
2
2 NSXがvSRXをClusterに展開
4
4 SDがvSRXに初期configとライセンスを配布
この段階ではvSRXでトラフィック
は検査されない
DFW DFW DFW DFW
vSR
X
vSR
X
vSR
X
vSR
X
3
3 NSXからvSRXへのリダイレクトルールを設定
0 NSXとSD/PEのインストール
初期セットアップ完了
各ホストにvSRXを自動展開
37. © 2018 Juniper Networks
NSX INTEGRATION – ポリシー管理
NSX
Manager
Security
Admin
Cloud Admin
ESXi Host-1
NSX Virtual Switch
VM VM
ESXi Host-2
NSX Virtual Switch
VM VM
ToR Switch
1
NSX管理者はvSRXへのリダイレクトルールを作成
SRC=Any, DEST=PCI_SG, ACTION=REDIRECT-vSRX
1
vSRX vSRX
4
DFW DFW DFW DFW
vSR
X
vSR
X
vSR
X
vSR
X
2
0 NSX Security Groups = VM groups
NSXのSG更新があればPE & SDに対して随時同期される
2 NSXはvSRXへのリダイレクトポリシーを設定
3
NSXはSGとSGメンバーの情報をPEに配布
PEはDAG(Dynamic Address Group)をSDに作成
セキュリティ管理者はNSXのSGをポリシーに使用可能
ポリシーは N-S (Physical SRX) と E-W (NSX vSRX)に適用可
3
4 SDはvSRXに対してポリシーを配布
Security Director
Policy Enforcer
NSXがリダイレクトし、SDでセキュリティーポリシー管理
38. © 2018 Juniper Networks
SD上でNSX上で作成済のSecurity Group情報一覧確認
クラウド管理者がvCenter側でSecurity Groupを設定(例:Marntiniという文字列のVMグループ)
SG-Martini
SG-Martini
SD上でも該当VM確認
NSX Inventory確認 on Security Director
39. © 2018 Juniper Networks
Dest.Addressに
nsxmgr-SG-Martiniを指定
Security Groupを送信元や送信先として指定し、
アドレスを意識せず動的にセキュリティーポリシーを適用
Security Policy with NSX Security Group
40. © 2018 Juniper Networks
Application FW IPS
• 18,000以上攻撃パターンシグニ
チャを検知&防御
• IPS Policy Templateとして指定
• 3600種類以上のアプリケーションを識別
• アプリケーションごとにアクション指定可能
Application FW & IPS Policy with vSRX for NSX
41. © 2018 Juniper Networks
VMWARE NSX連携 セキュリティ連携
1. NSXチェイニング vSRX連携 – 次世代FW.
マイクロセグメンテーションに、L7やIPS(18,000以上攻撃パター
ンシグニチャを
検知&防御)による高レベルのセキュリティを提供
2. SkyATP metadata連携 – マルウェアや未知の脅威対
策
.
既知・未知のマルウェなど、高度な脅威を検知し、
metadata/security TAGにより拡散マシン単位で拡散防止
42. © 2018 Juniper Networks
2.AUTOMATED THREAT REMEDIATION WITH NSX
SkyATPによるランサムウェアな
どの
高度なマルウェアからの保護
感染ホスト情報をSecurity
DirectorからNSXに伝搬し、
動的に仮想マシン単位での
脅威拡大の防止
マイクロセグメンテーションの
さらなら強化を実現
SkyATP連携により多様な脅威から仮想マシン単位で動的に制御
Security Director/Policy Enforcer
DMZ
VLAN
SRX or vSRX
NSX
SkyATP
セキュリティ
タグ
感染ホストの
フィード
ポリシー適用
43. © 2018 Juniper Networks
AUTOMATED THREAT REMEDIATION WITH NSX
ワークフロー概要
1. エンドポイントのVMがマルウェアのダウン
ロードやC&Cサーバへの接続を試みる
2. 境界FWのSRXがファイルをスキャン
3. SRXがSky ATPにファイルを送る
4. Sky ATPがマルウェアを検知し、SRXと
Policy Enforcerに通知する
5. SRXがファイルのダウンロードを制御
6. Policy EnforcerがVMware NSX Manager
に”Infected”(脅威)のような適切なセキュリ
ティタグを通知し、必要なセキュリティグ
ループに該当のVMを配置
7. セキュリティ管理者は、NSXのセキュリティ
グループをSRXまたはvSRXで利活用し、さら
ならアクションを行うことも可能。
8. 加えて、NSXのパートナーにリストされてい
る他のエンドポイントプロテクションを活用
しエンドポイントセキュリティのワークフ
ローを活用することも可能
44. © 2018 Juniper Networks 44
セキュリティ
タグ
SDSN_BLOC
K
Security Tagベース フィルター
セキュリティタグをベースにしたフィルターやチェイ
ニング
感染したホスト情報をタグ情報と共にNSXに通知
該当VM
SkyATP感染ホストの検出
45. © 2018 Juniper Networks
メタデータベース ダイナミックマルチクラウドセキュリ
ティー
メタデータをベースに直観的なセキュリティポリシー
セキュリティレベルによりメタデータの割り当て
※NSX ロードマップ
他のドメインのメタデータを用いたセキュリティ
ポリシーを利用したマルチドメインセキュリティ
仮想ネットワークの情報をベアメタル環境や
パブリッククラウド環境にも適用
SDSN + マイクロセグメンテーション
脅威拡大を早期に対応し自動的に隔離
仮想環境はもちろん物理やパブリッククラウドをセキュアに
ベアメタルデータセ
ンタ
パブリッ
ク
クラウド
VMware
SDDC
46. © 2018 Juniper Networks
JUNIPER SRX + NSX
単一管理ポイント
東西・南北の
タグベースセキュリ
ティ
低リソース(2vCPU)
フットプリント
高スループット
次世代ファイア
ウォール
vCenter
タグベース連携
POWERED BY
SDSN + NSX
SDSNでNSXマイセグをよりセキュアに、かつネットワーク全体をセキュアに
Advanced Threat
Intelligence
DC Micro-
Segmentation
Multi domain
Entire Network
47. © 2018 Juniper Networks
AGENDA
47
• セキュリティ市場とJuniper SDSN
• Juniper セキュリティプロダクトの特徴
• VMware NSX連携 セキュリティ連携
• VMware NSX + Juniper 連携
• まとめ
48. © 2018 Juniper Networks
オーバーレイネットワークに適したアンダーレイとは?
サーバー接続数の増加やパフォーマ
ンスの増加の対応
データセンタ間にもオーバーレイの
ネットワークの拡張やSLAを実現
オーバーレイに影響を与えない充
分なパフォーマンスと耐障害性
ストレージやデータベースなど仮
想化していない高パフォーマンス
が求められる環境への接続
ジュニパーファブリック + HW-VTEP + DCI
物理インフラ
VMware NSX
VXLAN
パフォーマンス/耐障害性 拡張性
オーバーレイの一元管理と
アンダーレイの一元管理
増設時にサーバーエンジニアに
も容易なスイッチの追加
管理性
49. © 2018 Juniper Networks
JUNOS アーキテクチャー
オートメーション
シンプルに展開 高スケール/DIY
Juniperファブリックソリューション
50. © 2018 Juniper Networks
リーフ
スパイン
VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM
Bare Metal
Hypervisor
Node #1 Node #28Node #3Node #2 Node #4
Master Backup
シングル管理インタフェー
ス
運用・管理の簡素化
シングル管理インターフェース
スパイン&リーフ:高パフォーマンス
L2,L3,MPLSの実装と最適経路
ゼロタッチによる機器追加
Node #1 Node #28Node #3Node #2 Node #4
オーバーレイに必要なパフォーマンス、容易な管理、高い拡張性を実現
JUNIPER ファブリック (VC/VCF/JFD/CFM)
スイッチ追加時も最低限の設定追加
論理的に
1台のスイッチ
51. © 2018 Juniper Networks
オーバーレイ
ネットワーク
アンダーレイ
ネットワーク
VM
仮想化していないリソースとの接続をどうするか
NSX連携 - Hardware VTEP機能対応スイッチ
VM VM VM NSX
仮想化インフラ
物理的なインフラ
プロビジョニング
VXLANVXLAN
51広帯域・高パフォーマンス、高拡張性、高可用性、設定画面の統一などが必要な場合に
は、
物理スイッチによるハードウェアVTEPとの連携ソリューションが活用できる基盤
VM VM
非仮想化サーバーも
L2で高速接続非仮想化サーバー
VLANVLAN
52. © 2018 Juniper Networks
NSX HARDWARE VTEP統合 –コントロールプレーン/BUM
VXLAN環境におけるBUMトラフィックのレプリケーションに応じた設定が必要
JuniperはMulticast−VXLAN、OVSDB−VXLAN(unicast)、2種類の方法でNSXと接続可能
OVSDB-VXLAN(unicast)
BUMトラフィックはNSXコントローラが制御を行い、
代表ノードが各VTEPへパケットの転送を行う
・アンダーレイでマルチキャストルーティングは不要
・NSX ManagerからJuniperの設定変更が可能 (L2)
・DLRによる分散論理ルーターとの併用が不可
DLRなしのCentralized Routingのみサポート)
・ネットワークデバイス毎の証明書の管理が必要
※OVSDB-VXLANはNSX6.2.2より正式サポート
Multicast-VXLAN
BUMトラフィックはMulticastルーティングにより
Rendezvous Point(RP)がパケットの複製を行う
(メリット)
・DLRによる分散論理ルーターとの共存が可能 (L2)
・証明書の管理は不要
・ネットワーク管理とNSXの管理境界をある程度わけることが
できる
・アンダーレイでマルチキャストルーティングが必要
・NSX ManagerからJuniperの設定変更が不可
メリッ
ト
デメ
リット
メリッ
ト
デメ
リット
お客様の環境、運用方法、管理性などによる最適な選択が可能
53. © 2018 Juniper Networks
NSXに最適なアンダーレイの提供
QFX5100 Hardware Gateway Integration with VMware NSX-V 6.2.4 Implementation Guide
ジュニパーファブリック + HW-VTEP + DCI
Slide shareに構築手順、デザイン、検討ポイント掲載
https://www.slideshare.net/JuniperJapan
54. © 2018 Juniper Networks
オーバーレイ
ネットワーク
アンダーレイ
ネットワーク
VM
仮想化していないリソースとの接続をどうするか
NSX連携 - Hardware VTEP機能対応スイッチ
VM VM VM NSX
仮想化インフラ
物理的なインフラ
プロビジョニング
VXLANVXLAN
54
VM VM
非仮想化サーバーも
L2で高速接続非仮想化サーバー
VLANVLAN
広帯域・高パフォーマンス、高拡張性、高可用性、設定画面の統一などが必要な場
合には、
物理スイッチによるハードウェアVTEPとの連携ソリューションが活用できる基盤
55. © 2018 Juniper Networks
新しいスイッチを接続して組み込むだけ
変更作業と管理負荷を大幅に削減
監視システム
監視対象追加
55
Juniperファブリックを利用した場合の ラック追加作業
正常性確認
設定追加
VLAN・IPアドレス設
計・ACL設計
ルーティング設計
サーバーラックの新設
1台で
設定するだけ
不要
最小化
論理的に
1台のスイッチ
57. © 2018 Juniper Networks
A LEADER IN THE FORRESTER WAVE
Hardware Platforms for Software-Defined Networking, Q1 2018 See the Report
~SDNに求められるハードウェアとしてリーダーポジ
ション~
“データセンターからビジネスエッジまで、一貫性のあ
るOSでネットワーク全体を自動化したいお客様にジュ
ニパーネットワークスの自動化は最良のソリューショ
ンになる.”
The Forrester Wave™: Hardware Platforms For Software-
Defined Networking, Q1 2018
The Forrester WaveTM is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are
trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of
Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores,
weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in
the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at
the time and are subject to change.
“Programmability”, “Operating System”で最も高
い評価
Juniper Networks
58. © 2018 Juniper Networks
JUNIPER-VMWAREにより更なる拡張も可能
Juniperだけが NSX環境に最適なアンダーレイ、セキュリティ、可視化を提供可能
オーバーレイ
ネットワーク
アンダーレイ
ネットワーク
VM
Hypervisor
VM VM
Hypervisor
VM NSX
vSRX vSRX通信可視化
L7/IPS
SkyATP
58
DC2DC1
WAN
統合監視
完全自動化
Junos
automation
セルフサービスポー
タル/API
SRX
Juniper
ファブリッ
ク
59. © 2018 Juniper Networks
AGENDA
59
• セキュリティ市場とJuniper SDSN
• Juniper セキュリティプロダクトの特徴
• VMware NSX連携 セキュリティ連携
• VMware NSX + Juniper 連携
• まとめ
60. © 2018 Juniper Networks
モニタリング
セキュリティ
SDSN & JUNIPERファブリック により
VMWARE環境にも最適な投資効果の高いセキュアインフラを
TECHNOLOGY ALLIANCE本資料には一部ロードマップを含みます。
予定は予告なく変更することもあります。
詳細な情報が必要な場合はお問合せくださ
い。
ネットワーク
61. © 2018 Juniper Networks
vSRX 60日間無料トライアル
https://www.juniper.net/us/en/dm/free-vsrx-trial/
定期セキュリティセミナー開催
~o365問題解決、マルウェア対策~
https://www.juniper.net/jp/jp/company/events/
Get Started ~Free Trial~
vQFX 無料トライアル
定期JUNOS(SRX/QFX)ハンズオンセミナー開催
https://www.juniper.net/us/en/dm/free-vqfx-trial/
https://www.juniper.net/jp/jp/dm/junos-handson/