【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス

3. ハイブリッド/マルチクラウド利用の課題はセキュリティ Copyright 2020 FUJITSU LIMITED 63％ The top challenges for multi-cloud: Ensuring security across all clouds, networks, applications and data. https://www.a10networks.com/news/press-releases/companies-struggling-to-optimize-manage-protect-multi-cloud-compute-infrastructures/ 2

5. セキュリティ事故の99%はユーザーの設定ミス ◼ Gartnerの調査によると、クラウドサービスのプロバイダーにおいてセキュリティ事故が発生したケースは少なく、サービス損失も限定的な場合が多い ◼ 深刻化しているのはユーザーの設定ミスに起因したセキュリティ事故であり、更に同社は、『2025年までに起きるクラウド関連のセキュリティ事故の 99％はユーザの設定ミスに起因する』と予測 Copyright 2020 FUJITSU LIMITED Through 2025, 99% of cloud security failures will be the customer’s fault. https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/ 4

6. Copyright 2020 FUJITSU LIMITED 事例：米Capital One社のセキュリティ事故 ◼ WAFの設定ミスに起因してSSRF脆弱性を攻撃される ◼ S3 bucketに保存されていた1億件超の個人情報が漏洩 Source: https://www.foxbusiness.com/financials/capital-one-customers-exposed-hack-100m-bank-accounts Capital One クラウド環境 WAF EC2インスタンス（S3アクセスが可能） S3 bucket （個人情報が保存） 2. IAMロール権限を不正に入手 1億件超の個人情報が流出！ 3. 入手したIAMロール権限でS3にアクセス攻撃者 1. WAFの設定ミスを突いてSSRF攻撃 5

9. 事例：米Target社のセキュリティ事故 ◼ 請求管理システムのアクセスに利用していたVPNログイン情報が盗まれる ◼ 攻撃者にネットワーク内に侵入され顧客情報が漏洩 Copyright 2020 FUJITSU LIMITED 空調業者（パートナー）店舗POS 店舗POS 店舗POS ベンダーネットワーク Target社WAN Source: https://www.cbc.ca/news/business/target-cio-resigns-as-security-revamped-over-data-breach-1.2561648 VPN 2. Lateral Movement を繰り返し内部に侵入 3. POSにマルウェアを仕掛けクレカ情報を収集 1. マルウェア感染させ VPNログイン情報入手 4,000万件のクレカ情報が流出！攻撃者請求管理システム 8

13. Copyright 2020 FUJITSU LIMITED Tunaclo API Connect とは？ ✓ インターネット経由でユーザのWeb UI/APIを安全につなぐ Cloud Native 時代の接続サービス（つながるクラウド → Tunagaru cloud → つなくろ） ✓ Tunaclo AC を利用すれば２大セキュリティリスクを排除できます ➢ インターネットから攻撃を受けない ➢ ラテラルムーブメントを防止

14. Tunaclo API Connect 構成概要 Copyright 2020 FUJITSU LIMITED ① お客様管理者はポータル（またはCLI）を通じてアクセスを管理 ② 利用にはお客様環境にAgent設置が必要お客様サイト #Bお客様サイト #A 富士通が運用管理（クラウド上） Tunaclo Portal Front Agent Client Back Agent Web アプリ Tunaclo Router Virtual URL Service URL Internet Internet ① ② ② 注）Tunaclo ACの通信性能はご利用のインターネット環境に準じます 13

15. お客様サイト #Bお客様サイト #A ◼ インターネットへの接続環境さえあれば10分でつながる ◼ 多くの場合で、インフラやアプリケーションへの変更なしに導入できます ◼ Agentのインストールと簡単な設定のみで、リモートのWebアプリへアクセス可能です Copyright 2020 FUJITSU LIMITED Front Agent Back Agent Web アプリ Client HTTP/2(443) Outbound HTTP/2(443) Outbound Firewallの穴あけ不要グローバルの固定IP不要 Agile：10 分でつながる Tunaclo Router アプリの変更無し 14

16. セキュリティ関連の設定ミスは命取りインターネット公開 ◼ Webアプリはインターネット公開されないため、設定ミスによるリスクを局所化できます ◼ 許可したWebアプリ以外へはアクセスできないため、ラテラルムーブメントのリスクを低減します Copyright 2020 FUJITSU LIMITED Secure：近年の深刻化するセキュリティ脅威に対処脆弱な接続先があると攻撃を受けるネットワーク接続サイトA API GW 不正アクセス Internet VPN 不正アクセスサイトAサイトB Tunaclo Router インターネットや接続先からの脅威を排除Tunaclo AC サイトB サイトA 15

17. ◼ Agent はコンテナ形式で提供され、Kubernetes 等にも容易に組み込めます ◼ 従来は手間の大きかったクラスタ間通信も、簡単かつセキュアに実現できます Copyright 2020 FUJITSU LIMITED App First：Kubernetes にも対応パブリッククラウドオンプレミス既存システム Kubernetes等コンテナコンテナ Front Agent Back Agent Back Agent Tunaclo Router Internet Internet 16

18. 協力会社① 協力会社② 発注元会社パブリッククラウド開発環境 ◼ Tunacloは業務系、VPNは運用系アクセスに使用することでセキュリティ強化（ラテラルムーブメント対策） ◼ クラウド利用者の生産性を向上（インターネットや社内システム接続時のVPN切断/再接続を不要に）ユースケース①：Withコロナ時代のCloudNativeなシステム開発 Copyright 2020 FUJITSU LIMITED SSH/RDP/SFTP Tunaclo Router SSL-VPN（運用系）グループウェアリモートアクセスOSS 必要十分なアクセス許可 UXを改善し生産性向上 17

19. パブリッククラウド取引先企業③ （リモートワーク）取引先企業② 取引先企業① 運用会社 ◼ 特定の取引先企業からのアクセスに限定（インターネット公開を想定した攻撃対策や運用体制は不要） ◼ IPに依存しない接続方式で利便性を向上（企業の固定IP変更に追随不要、リモートワークでも利用可）ユースケース②：サプライチェーンAPIのサイバーセキュリティ対策強化 Copyright 2020 FUJITSU LIMITED Tunaclo Router SSL-VPN（運用系） Web納品管理システム Webチケット管理システムインターネットから攻撃できないリモートワーク環境でも利用できる* * Windows OSに対応したAgentは10月リリースを予定しています 18

20. Copyright 2020 FUJITSU LIMITED Tunaclo API Connect サービスメニュー Basic PoCや開発利用向け Pro 本番利用向け Enterprise 大規模利用・SaaS事業者向け 1 カ月間ログ保存 Router共有型（冗長無）メールサポート 5 個まで通信先ID登録可 35,000 円/月 ※通信先IDの追加はできません 3 カ月間ログ保存 Router共有型（DR冗長有）メールサポート 20 個まで通信先ID登録可 69,000 円/月 +10,000円で5通信先ID追加 12 カ月間ログ保存 Router占有型（DR冗長有）メール＆電話サポート 100 個まで通信先ID登録可お問い合わせ下さい ※ご契約は１年単位となります基本機能（管理用ポータル、End-to-End暗号化、RBAC etc.） 19

23. 自己紹介 ◼ Name ◼ Belongings プラットフォームソフトウェア事業本部第二基盤ソフトウェア事業第三開発部（亀澤チーム） ◼ Job ◼ Tunaclo ACの開発・運用 ◼ どちらかというとインフラよりのエンジニア ◼ Interest ◼ IaCなど、インフラ運用まわり Copyright 2020 FUJITSU LIMITED iura.yoichiro@fujitsu.com つながるクラウド、 Tunacloなんです井浦陽一郎 22

24. チーム結成！ ◼Agile and DevOps ◼ 開発チームと運用チームで協力を？ ◼ 少人数だから、両方みんなでやろう！ ◼ 全員がアプリケーションからインフラまでカバー ◼ 3か月に一回のリリースを目指そう ◼ スプリント期間中 • 毎朝、開発と運用を担当割り当て • 最近は、あみだくじで、担当割り振り • 引継ぎは、チケット管理ツールベース Copyright 2020 FUJITSU LIMITED23

25. 順調なリリース ◼ 3か月に1回のサービスエンハンス Copyright 2020 FUJITSU LIMITED V1.0リリース 2020/02/12 V1.1リリース 2020/05/15 V1.2リリース 2020/08/28 • 基本機能 • Agent冗長化（Kubernetes対応） • PathベースのACL • Tunaclo CLI • 災害対策（東西リージョン） • Front Agentの待ち受けポート拡張 ※ Tunaclo API Connect v1.3 リリース予定 Windows版Agentの提供予定 24

26. その裏側では・・・ ◼どちらかというと、開発を優先 ◼ Tunaclo ACの新機能追加 ◼ 災対環境の構築やDBの変更 ◼運用ではインフラ管理でよく使われるツールを使っているから、OK…? ◼ Terraform : クラウドリソースの管理 ◼ Ansible : OSやコンテナの設定・デプロイ ◼ スクリプト言語：その他、ツールではカバーしきれないところ Copyright 2020 FUJITSU LIMITED 開発機能・インフラ＜運用 25

29. 文芸的コンピューティングにチャレンジ ◼ LC4RI ◼ 運用管理手法＠NII クラウド運用チーム ◼ 必要なツールがすべてOSSで公開 ◼ Jupyter Notebookを活用し Web UIで運用管理 ◼ 「手順」・「コマンド」・「実行結果」を一つのNotebookで管理 Copyright 2020 FUJITSU LIMITED https://github.com/NII-cloud-operation/ 実行可能な手順書必要な情報を手順書上でまとめられる 28

30. ◼Jupyter Hub環境をデプロイ ◼ OperationHub(Jupyter Hub) • チームメンバーで利用できるように、マルチユーザーのJupyter環境 • ユーザーごとのJupyter Notebookがログイン時に起動・割り当て Jupyter環境を導入 Copyright 2020 FUJITSU LIMITED Tunaclo 開発・運用者 https://github.com/NII-cloud-operation/OperationHub パブリッククラウド踏み台＆ Jupyter Hub Tunaclo インフラ 29

31. ◼Jupyter Hub環境をデプロイ ◼ OperationHub(Jupyter Hub) • チームメンバーで利用できるように、マルチユーザーのJupyter環境 • ユーザーごとのJupyter Notebookがログイン時に起動・割り当て Jupyter環境を導入 Copyright 2020 FUJITSU LIMITED オンプレミス（弊社NW） Tunaclo 開発・運用者パブリッククラウド踏み台＆ Jupyter Hub ✓ SSHポートフォワード？ ✓ VPN接続？ Jupyter Hubにどのようにアクセスすればセキュアに運用管理できるか？ https://github.com/NII-cloud-operation/OperationHub Tunaclo インフラ 30

32. ◼Jupyter Hub環境をデプロイ ◼ OperationHub(Jupyter Hub) • チームメンバーで利用できるように、マルチユーザーのJupyter環境 • ユーザーごとのJupyter Notebookがログイン時に起動・割り当て Jupyter環境を導入 Copyright 2020 FUJITSU LIMITED オンプレミス（弊社NW） Tunaclo 開発・運用者 https://github.com/NII-cloud-operation/OperationHub パブリッククラウド踏み台＆ Jupyter Hub Tunaclo インフラこういう時こそ、 Tunaclo ACが活用できるのでは？ ✓ SSHポートフォワード？ ✓ VPN接続？ ✓ Tunaclo API Connect 31

33. ◼Tunaclo API Connectを活用した運用にトライ ◼ JupyterによるNotebook手順書と Terminal機能で基本的な運用はブラウザベースで可能に Dogfoodingを兼ねて Copyright 2020 FUJITSU LIMITED オンプレミス（弊社NW）フロントエージェント Tunaclo 開発・運用者パブリッククラウド Tunaclo インフラバックエージェント踏み台＆ Jupyter Hub Internetを越えたSSHを最小限に抑えることが可能 ※Jupyter環境のメンテナンス Tunaclo.net 32

34. 手順書の機械的な実行と一括実行 ◼人間による機械的な実行 ◼ コマンドを遂次実行 ◼ コマンドの実行結果を保存 ◼ エラー発生とトラブルシュートが同時にでき、記録として保存 ◼手順の一括実行 ◼ 手順書や章単位で一括実行 ◼ コマンドラインからの実行も可能 • Papermillの活用 Copyright 2020 FUJITSU LIMITED https://github.com/nteract/papermill 「コマンド」＋「実行結果」 33

36. 一括実行例（E2Eテスト） ◼Papermillによるコマンドラインでの実行 ◼Jupyter NotebookのTerminalから一括実行 Copyright 2020 FUJITSU LIMITED papermill [対象のNotebook] [実行結果を含むNotebook] -p <パラメタ指定も可> 実行可能な手順書が安定してきたら、そのまま自動実行に移行（CIツールと連携）各種オブジェクトストレージにも対応 35

37. これまでのまとめ ◼JupyterHub + Tunaclo API Connect ◼ 開発・運用をセキュアに行うことができる！(Jupyter環境のメンテナンスを除く) ◼Jupyter Notebookによる実行可能な手順書 ◼ ブラウザだけで作業が完結する！コピペ不要！ ◼ 機械的な遂次実行も、一括実行も可能！コマンドごとに試行錯誤が簡単！ ◼ 手順（コマンド）ごとに記録に残るから、振り返りや情報共有に使える！ ◼ 学習や運用方法の検討が大切 • Jupyter Notebookに慣れない（コマンドラインの方が速い） • 手順書の管理などは手探り状態（手順書自身が巨大） Copyright 2020 FUJITSU LIMITED 属人化に対して効果がありそう 36

【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス

Esté a ler uma amostra.

Confira estes a seguir

【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a 【CNDT2020】Tunaclo API Connectで実現する次世代のクラウド間アクセス (20)

Mais recentes (20)