O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス

Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Próximos SlideShares
Hybrid cloud fj-20190704_final
Hybrid cloud fj-20190704_final
Carregando em…3
×

Confira estes a seguir

1 de 40 Anúncio

【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス

Baixar para ler offline

CloudNative Days Tokyo 2020での発表資料です。
(Day2) 09/09 14:00-14:40 - Track A

富士通が提供するセキュアなクラウド間アクセスサービス Tunaclo API Connectについてご紹介します。セッションの前半ではクラウドネイティブ時代に求められるアプリケーションアクセス時のセキュリティの勘所や、Tunaclo API Connectがどうコンテナネットワークのクラウド超えアクセスを構成できるのかをご紹介します。更にセッション後半では、弊社エンジニアからクラウドにおけるサービス開発の裏側について実体験を元にお届けします。

CloudNative Days Tokyo 2020での発表資料です。
(Day2) 09/09 14:00-14:40 - Track A

富士通が提供するセキュアなクラウド間アクセスサービス Tunaclo API Connectについてご紹介します。セッションの前半ではクラウドネイティブ時代に求められるアプリケーションアクセス時のセキュリティの勘所や、Tunaclo API Connectがどうコンテナネットワークのクラウド超えアクセスを構成できるのかをご紹介します。更にセッション後半では、弊社エンジニアからクラウドにおけるサービス開発の裏側について実体験を元にお届けします。

Anúncio
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a 【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス (20)

Anúncio

Mais recentes (20)

【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス

  1. 1. Copyright 2020 FUJITSU LIMITED Tunaclo API Connect で実現する 次世代のクラウド間アクセス (Day2) 09/09 14:00-14:40 - Track A 古澤 慧、井浦 陽一郎 富士通株式会社
  2. 2. Who I am ◼ 名前 :古澤 慧(Furusawa Kei) ◼ 職務 :Marketing Engineer ◼ 経歴 :SDN関連製品の企画・開発、もとはネットワーク屋 ◼ 最近の興味:ゼロトラストネットワーク Copyright 2020 FUJITSU LIMITED Software Design誌にてゼロトラスト について8~10月号で短期連載中! 是非、ご覧になってください 1
  3. 3. ハイブリッド/マルチクラウド利用の課題はセキュリティ Copyright 2020 FUJITSU LIMITED 63% The top challenges for multi-cloud: Ensuring security across all clouds, networks, applications and data. https://www.a10networks.com/news/press-releases/companies-struggling-to-optimize-manage-protect-multi-cloud-compute-infrastructures/ 2
  4. 4. 近年のセキュリティ事故に見る深刻な2大リスク Copyright 2020 FUJITSU LIMITED クラウドの 設定ミス ラテラル ムーブメント 3
  5. 5. セキュリティ事故の99%はユーザーの設定ミス ◼ Gartnerの調査によると、クラウドサービスのプロバイダーにおいてセキュリティ 事故が発生したケースは少なく、サービス損失も限定的な場合が多い ◼ 深刻化しているのはユーザーの設定ミスに起因したセキュリティ事故であり、 更に同社は、 『2025年までに起きるクラウド関連のセキュリティ事故の 99%はユーザの設定ミスに起因する』 と予測 Copyright 2020 FUJITSU LIMITED Through 2025, 99% of cloud security failures will be the customer’s fault. https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/ 4
  6. 6. Copyright 2020 FUJITSU LIMITED 事例:米Capital One社のセキュリティ事故 ◼ WAFの設定ミスに起因してSSRF脆弱性を攻撃される ◼ S3 bucketに保存されていた1億件超の個人情報が漏洩 Source: https://www.foxbusiness.com/financials/capital-one-customers-exposed-hack-100m-bank-accounts Capital One クラウド環境 WAF EC2インスタンス(S3アクセスが可能) S3 bucket (個人情報が保存) 2. IAMロール権限を 不正に入手 1億件超の個人情報 が流出! 3. 入手したIAMロール 権限でS3にアクセス 攻撃者 1. WAFの設定ミスを 突いてSSRF攻撃 5
  7. 7. 近年のセキュリティ事故に見る深刻な2大リスク Copyright 2020 FUJITSU LIMITED クラウドの 設定ミス ラテラル ムーブメント 6
  8. 8. ◼ 防御の弱い部分から侵入し横移動を繰り返して組織内部に入り込む攻撃 ◼ 内部からの攻撃には脆弱かつ検知も難しいことが多く被害が深刻化しやすい 近年のセキュリティ脅威:ラテラルムーブメント Copyright 2020 FUJITSU LIMITED パートナー企業向け ネットワーク 海外拠点ネットワーク 本社WAN 機密情報エリア 攻撃者 ラテラルムーブメント(横移動)による侵入拡大 重要資産 7
  9. 9. 事例:米Target社のセキュリティ事故 ◼ 請求管理システムのアクセスに利用していたVPNログイン情報が盗まれる ◼ 攻撃者にネットワーク内に侵入され顧客情報が漏洩 Copyright 2020 FUJITSU LIMITED 空調業者 (パートナー) 店舗POS 店舗POS 店舗POS ベンダーネットワーク Target社WAN Source: https://www.cbc.ca/news/business/target-cio-resigns-as-security-revamped-over-data-breach-1.2561648 VPN 2. Lateral Movement を繰り返し内部に侵入 3. POSにマルウェアを 仕掛けクレカ情報を収集 1. マルウェア感染させ VPNログイン情報入手 4,000万件のクレカ 情報が流出! 攻撃者 請求管理 システム 8
  10. 10. IPA:情報セキュリティ10大脅威 2020 Copyright 2020 FUJITSU LIMITED https://www.ipa.go.jp/security/vuln/10threats2020.html 業務委託先組織が攻撃され、 預けていた個人情報が漏えい する 等の被害が発生 9
  11. 11. Copyright 2020 FUJITSU LIMITED どうすればセキュリティリスクを低減しつつ クラウドや拠点間を連携させられるか? 10
  12. 12. Copyright 2020 FUJITSU LIMITED
  13. 13. Copyright 2020 FUJITSU LIMITED Tunaclo API Connect とは? ✓ インターネット経由でユーザのWeb UI/APIを安全につなぐ Cloud Native 時代の接続サービス (つながるクラウド → Tunagaru cloud → つなくろ) ✓ Tunaclo AC を利用すれば2大セキュリティリスクを排除できます ➢ インターネットから攻撃を受けない ➢ ラテラルムーブメントを防止
  14. 14. Tunaclo API Connect 構成概要 Copyright 2020 FUJITSU LIMITED ① お客様管理者はポータル(またはCLI)を通じてアクセスを管理 ② 利用にはお客様環境にAgent設置が必要 お客様サイト #Bお客様サイト #A 富士通が運用管理(クラウド上) Tunaclo Portal Front Agent Client Back Agent Web アプリ Tunaclo Router Virtual URL Service URL Internet Internet ① ② ② 注)Tunaclo ACの通信性能はご利用のインターネット環境に準じます 13
  15. 15. お客様サイト #Bお客様サイト #A ◼ インターネットへの接続環境さえあれば10分でつながる ◼ 多くの場合で、インフラやアプリケーションへの変更なしに導入できます ◼ Agentのインストールと簡単な設定のみで、リモートのWebアプリへアクセス可能です Copyright 2020 FUJITSU LIMITED Front Agent Back Agent Web アプリ Client HTTP/2(443) Outbound HTTP/2(443) Outbound Firewallの 穴あけ不要 グローバルの 固定IP不要 Agile:10 分でつながる Tunaclo Router アプリの 変更無し 14
  16. 16. セキュリティ関連の設定ミスは命取りインターネット公開 ◼ Webアプリはインターネット公開されないため、設定ミスによるリスクを局所化できます ◼ 許可したWebアプリ以外へはアクセスできないため、ラテラルムーブメントのリスクを低減します Copyright 2020 FUJITSU LIMITED Secure:近年の深刻化するセキュリティ脅威に対処 脆弱な接続先があると攻撃を受けるネットワーク接続 サイトA API GW 不正アクセス Internet VPN 不正アクセス サイトAサイトB Tunaclo Router インターネットや接続先からの脅威を排除Tunaclo AC サイトB サイトA 15
  17. 17. ◼ Agent はコンテナ形式で提供され、Kubernetes 等にも容易に組み込めます ◼ 従来は手間の大きかったクラスタ間通信も、簡単かつセキュアに実現できます Copyright 2020 FUJITSU LIMITED App First:Kubernetes にも対応 パブリッククラウド オンプレミス 既存システム Kubernetes等 コンテナ コンテナ Front Agent Back Agent Back Agent Tunaclo Router Internet Internet 16
  18. 18. 協力会社① 協力会社② 発注元会社 パブリッククラウド 開発環境 ◼ Tunacloは業務系、VPNは運用系アクセスに使用することでセキュリティ強化(ラテラルムーブメント対策) ◼ クラウド利用者の生産性を向上(インターネットや社内システム接続時のVPN切断/再接続を不要に) ユースケース①:Withコロナ時代のCloudNativeなシステム開発 Copyright 2020 FUJITSU LIMITED SSH/RDP/SFTP Tunaclo Router SSL-VPN(運用系) グループウェア リモート アクセスOSS 必要十分な アクセス許可 UXを改善し 生産性向上 17
  19. 19. パブリッククラウド 取引先企業③ (リモートワーク) 取引先企業② 取引先企業① 運用会社 ◼ 特定の取引先企業からのアクセスに限定(インターネット公開を想定した攻撃対策や運用体制は不要) ◼ IPに依存しない接続方式で利便性を向上(企業の固定IP変更に追随不要、リモートワークでも利用可) ユースケース②:サプライチェーンAPIのサイバーセキュリティ対策強化 Copyright 2020 FUJITSU LIMITED Tunaclo Router SSL-VPN(運用系) Web納品管理 システム Webチケット 管理システム インターネット から攻撃できない リモートワーク環境 でも利用できる* * Windows OSに対応したAgentは10月リリースを予定しています 18
  20. 20. Copyright 2020 FUJITSU LIMITED Tunaclo API Connect サービスメニュー Basic PoCや開発利用向け Pro 本番利用向け Enterprise 大規模利用・SaaS事業者向け 1 カ月間ログ保存 Router共有型(冗長無) メールサポート 5 個まで通信先ID登録可 35,000 円/月 ※通信先IDの追加はできません 3 カ月間ログ保存 Router共有型(DR冗長有) メールサポート 20 個まで通信先ID登録可 69,000 円/月 +10,000円で5通信先ID追加 12 カ月間ログ保存 Router占有型(DR冗長有) メール&電話サポート 100 個まで通信先ID登録可 お問い合わせ下さい ※ご契約は1年単位となります 基本機能(管理用ポータル、End-to-End暗号化、RBAC etc.) 19
  21. 21. まずはお試しください! ◼ 初月は無料でトライアル頂けます https://cloud-direct.jp.fujitsu.com/pages/productinfo/2286 ◼ 製品に関する詳細・お問い合わせはこちら https://www.fujitsu.com/jp/tunaclo/ Copyright 2020 FUJITSU LIMITED20
  22. 22. Copyright 2020 FUJITSU LIMITED ここからは弊社エンジニアより サービス開発の裏側をお話します! 21
  23. 23. 自己紹介 ◼ Name ◼ Belongings プラットフォームソフトウェア事業本部 第二基盤ソフトウェア事業 第三開発部(亀澤チーム) ◼ Job ◼ Tunaclo ACの開発・運用 ◼ どちらかというとインフラよりのエンジニア ◼ Interest ◼ IaCなど、インフラ運用まわり Copyright 2020 FUJITSU LIMITED iura.yoichiro@fujitsu.com つながるクラウド、 Tunacloなんです 井浦 陽一郎 22
  24. 24. チーム結成! ◼Agile and DevOps ◼ 開発チームと運用チームで協力を? ◼ 少人数だから、両方みんなでやろう! ◼ 全員がアプリケーションからインフラまでカバー ◼ 3か月に一回のリリースを目指そう ◼ スプリント期間中 • 毎朝、開発と運用を担当割り当て • 最近は、あみだくじで、担当割り振り • 引継ぎは、チケット管理ツールベース Copyright 2020 FUJITSU LIMITED23
  25. 25. 順調なリリース ◼ 3か月に1回のサービスエンハンス Copyright 2020 FUJITSU LIMITED V1.0リリース 2020/02/12 V1.1リリース 2020/05/15 V1.2リリース 2020/08/28 • 基本機能 • Agent冗長化 (Kubernetes対応) • PathベースのACL • Tunaclo CLI • 災害対策 (東西リージョン) • Front Agentの 待ち受けポート拡張 ※ Tunaclo API Connect v1.3 リリース予定 Windows版Agentの提供予定 24
  26. 26. その裏側では・・・ ◼どちらかというと、開発を優先 ◼ Tunaclo ACの新機能追加 ◼ 災対環境の構築やDBの変更 ◼運用ではインフラ管理でよく使われるツールを使っているから、OK…? ◼ Terraform : クラウドリソースの管理 ◼ Ansible : OSやコンテナの設定・デプロイ ◼ スクリプト言語:その他、ツールではカバーしきれないところ Copyright 2020 FUJITSU LIMITED 開発 機能・インフラ<運用 25
  27. 27. 気が付けば・・・ ◼リリースごとにインフラのリポジトリが肥大化 ◼ 災害対策で管理対象増加 ◼ テストや運用向けのスクリプト増加 ◼ ちょっとづつ、属人化し始めた? Copyright 2020 FUJITSU LIMITED V1.0 V1.1 V1.2 ※インフラリポジトリ内のyaml, tf, py, sh, md内の行数をカウント 17K 25K 39K 26
  28. 28. どうすれば・・・ ◼リファクタリングも必要だが、 ◼あえて、今のうちにスキルやノウハウを効率よく共有する仕組みを ◼スキルやノウハウを共有するには・・・・・? • Whiteboard ? • Wiki ? • README ? Copyright 2020 FUJITSU LIMITED27
  29. 29. 文芸的コンピューティングにチャレンジ ◼ LC4RI ◼ 運用管理手法 @NII クラウド運用チーム ◼ 必要なツールがすべてOSSで公開 ◼ Jupyter Notebookを活用し Web UIで運用管理 ◼ 「手順」・「コマンド」・「実行結果」を 一つのNotebookで管理 Copyright 2020 FUJITSU LIMITED https://github.com/NII-cloud-operation/ 実行可能な手順書 必要な情報を 手順書上で まとめられる 28
  30. 30. ◼Jupyter Hub環境をデプロイ ◼ OperationHub(Jupyter Hub) • チームメンバーで利用できるように、マルチユーザーのJupyter環境 • ユーザーごとのJupyter Notebookがログイン時に起動・割り当て Jupyter環境を導入 Copyright 2020 FUJITSU LIMITED Tunaclo 開発・運用者 https://github.com/NII-cloud-operation/OperationHub パブリッククラウド 踏み台& Jupyter Hub Tunaclo インフラ 29
  31. 31. ◼Jupyter Hub環境をデプロイ ◼ OperationHub(Jupyter Hub) • チームメンバーで利用できるように、マルチユーザーのJupyter環境 • ユーザーごとのJupyter Notebookがログイン時に起動・割り当て Jupyter環境を導入 Copyright 2020 FUJITSU LIMITED オンプレミス (弊社NW) Tunaclo 開発・運用者 パブリッククラウド 踏み台& Jupyter Hub ✓ SSHポートフォワード? ✓ VPN接続? Jupyter Hubにどのようにアクセスすれば セキュアに運用管理できるか? https://github.com/NII-cloud-operation/OperationHub Tunaclo インフラ 30
  32. 32. ◼Jupyter Hub環境をデプロイ ◼ OperationHub(Jupyter Hub) • チームメンバーで利用できるように、マルチユーザーのJupyter環境 • ユーザーごとのJupyter Notebookがログイン時に起動・割り当て Jupyter環境を導入 Copyright 2020 FUJITSU LIMITED オンプレミス (弊社NW) Tunaclo 開発・運用者 https://github.com/NII-cloud-operation/OperationHub パブリッククラウド 踏み台& Jupyter Hub Tunaclo インフラ こういう時こそ、 Tunaclo ACが活用できるのでは? ✓ SSHポートフォワード? ✓ VPN接続? ✓ Tunaclo API Connect 31
  33. 33. ◼Tunaclo API Connectを活用した運用にトライ ◼ JupyterによるNotebook手順書 と Terminal機能で 基本的な運用はブラウザベースで可能に Dogfoodingを兼ねて Copyright 2020 FUJITSU LIMITED オンプレミス (弊社NW)フロント エージェント Tunaclo 開発・運用者 パブリッククラウド Tunaclo インフラ バック エージェント 踏み台& Jupyter Hub Internetを越えたSSHを 最小限に抑えることが可能 ※Jupyter環境のメンテナンス Tunaclo.net 32
  34. 34. 手順書の機械的な実行と一括実行 ◼人間による機械的な実行 ◼ コマンドを遂次実行 ◼ コマンドの実行結果を保存 ◼ エラー発生とトラブルシュートが 同時にでき、記録として保存 ◼手順の一括実行 ◼ 手順書や章単位で一括実行 ◼ コマンドラインからの実行も可能 • Papermillの活用 Copyright 2020 FUJITSU LIMITED https://github.com/nteract/papermill 「コマンド」 + 「実行結果」 33
  35. 35. 人間による機械的な実行例(E2Eテスト) Copyright 2020 FUJITSU LIMITED 章や節の一括実行 手順の説明 (マークダウン形式) コマンド1 コマンド2 手順書の一括実行 実行状況の確認 34
  36. 36. 一括実行例(E2Eテスト) ◼Papermillによるコマンドラインでの実行 ◼Jupyter NotebookのTerminalから一括実行 Copyright 2020 FUJITSU LIMITED papermill [対象のNotebook] [実行結果を含むNotebook] -p <パラメタ指定も可> 実行可能な手順書が 安定してきたら、 そのまま自動実行に移行 (CIツールと連携) 各種オブジェクト ストレージにも対応 35
  37. 37. これまでのまとめ ◼JupyterHub + Tunaclo API Connect ◼ 開発・運用をセキュアに行うことができる!(Jupyter環境のメンテナンスを除く) ◼Jupyter Notebookによる実行可能な手順書 ◼ ブラウザだけで作業が完結する!コピペ不要! ◼ 機械的な遂次実行も、一括実行も可能!コマンドごとに試行錯誤が簡単! ◼ 手順(コマンド)ごとに記録に残るから、振り返りや情報共有に使える! ◼ 学習や運用方法の検討が大切 • Jupyter Notebookに慣れない(コマンドラインの方が速い) • 手順書の管理などは手探り状態(手順書自身が巨大) Copyright 2020 FUJITSU LIMITED 属人化に対して効果がありそう 36
  38. 38. 今後について ◼サービス運用の改善 ◼ Notebook手順書で開発・運用を継続 • 特定の人しかできないをなくし、チームで運用できるように • 手順をわかりやすく、実行可能な状態を維持 ◼ 実行可能な手順書の運用方法の確立 ◼ 運用自動化に向けて • PapermillとCIツールの連携 Copyright 2020 FUJITSU LIMITED37
  39. 39. (再掲)まずはお試しください! ◼ 初月は無料でトライアル頂けます https://cloud-direct.jp.fujitsu.com/pages/productinfo/2286 ◼ 製品に関する詳細・お問い合わせはこちら https://www.fujitsu.com/jp/tunaclo/ Copyright 2020 FUJITSU LIMITED38
  40. 40. Copyright 2020 FUJITSU LIMITED

×