Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Gatewayご紹介資料
マクニカネットワークス株式会社
McAfee製品担当
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
はじめに
2
McAfee Web Gatewayの特徴
Webアクセスに対する包括的なセキュリティ対策を提供する製品群です。クラウドシフトしていくお客様のネットワークに対して、オンプレミス、クラウドそれぞれの提供形態でWeb Gateway機能を提供します。
柔軟な構成
ユーザーライセンスにより、オンプレミスとクラウドのハイブリッド構成も取ることができ社内、社外からのWebアクセスに対して包括的な対処を取ることが可能です。
CASB連携
MVISION Cloud(CASB)と連携する事でShadow IT対策をWeb Gatewayと共に実現できます。
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Gateway(MWG):オンプレミスプロキシ
3
単体で複数機能を提供(All-in-One)エミュレーション技術を用いたふるまい検知可能なゲートウェイ専用アンチマルウェアエンジン(GAM)搭載URLフィルタリング、Webレピュテーション、Webプロキシ機能等を同時に実装可能
暗号化通信を高速復号し可視化SSL復号をIntel AES-NIテクノロジーでハードウェア処理し高いパフォーマンスを実現
利用形態に応じた最適なランセンシング、構成を提案ハイブリッドライセンスにより、オンプレ/SaaS型両方を単一ライセンスで利用可能HWアプライアンス、仮想アプライアンス、AWSとお客様に合わせたプラットフォームで提供可能
・ゲートウェイ専用マルウェア対策エンジン(GAM)・Web Proxy・URL Filter
提供機能
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Gateway 単体で多層防御を実現
4
方式の異なる検知方法の組み合わせによる真の多層防御を実現
機能 概要
アンチウィルスエンジン(DAT)
McAfee の定義ファイルを使ったブラックリスト方式の検知※アプライアンスではオプションでデュアルエンジンに対応
Web レピュテーション(GTI)
レピュテーションデータベースに照会して危険なサイトを検知
URLフィルタリング (GTI)カテゴリデータベースに照会して特定カテゴリのサイトをアクセス制御
ファイルレピュテーション(GTI)
レピュテーションデータベースに照会して脅威のあるファイルを検知
メディア・ファイル解析 メディアタイプによるアクセス制御
Gateway Anti-Malware(ふるまい検知)
エミュレーションエンジンを使った振る舞いによる検知※アプライアンスではオプションライセンスが必要
【特徴】- 単一システムで多層防御- ユーザ単位で可視化と制御- 多様なカスタムフィルタの作成- SSL復号化機能で暗号化通信制御
既知のマルウェアをフィルタ
サンドボックス/リバースエンジニアリング(ゼロデイ)
リアルタイムのビヘイビアエミュレーション(ゼロデ
イ)
動的分析と静的分析
Gateway Anti-Malware
AV
.05ミリ秒以下
.08ミリ秒以下
8ミリ秒以下
5ミリ秒以下
90秒未満
(最大80%を検知)(最大19.5%を検知) (最大0.5%を検出)
URLカテゴリ URL
レピュテー
ション
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Protection が提供する多層防御
5
MWG導入評価例
30日間のPoCを実施
既存のソリューションによりスキャンされた後、Webトラフィックの1/6がMcAfee Web Gatewayへ送信されました
スキャン 結果
案件の背景▪ 全世界にネットワークを持つフォーチューン10の企業
▪ McAfee製品以外を使用している企業
結果
▪ PoC中に1,000台のPCが感染から保護された
▪復旧コスト: $150–$200 /台とすると
▪ PoC中に: $150,000–$200,000のコスト削減
▪最終判断: 検討中のユーザがMWG導入を決定
9,200万のURL
346,000 のWebサイトとWebオブジェクト
280,000 URL既存製品におけるカテゴリ判断の誤認識を確認
50,000 URL悪質なレピュテーションURLへの接続を確認
16,000 個マルウェアを含む悪質なWebオブジェクトを検知
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Gateway オンプレミスプロキシ構成例
6
• 明示プロキシ
• ユーザ(管理者)がプロキシ設定必要
• 送信元IPはプロキシのIPアドレス
• ネットワーク機器のリダイレクト設定不要
• 透過プロキシ(PBR、WCCP)
• ユーザはプロキシ設定不要
• 送信元IPはプロキシのIPアドレス
• ネットワーク機器のリダイレクト設定が必要
インターネット
クライアント設定なし
Web Gateway
ネットワーク機器リダイレクト
Web Gateway
ロードバランサ
クライアント明示プロキシ設定
vip:9090
Proxy HA (Active)
Proxy HA (Passive)
スキャン用ノード
vip:9090
クライアント明示プロキシ設定
明示プロキシHA構成
明示プロキシロードバランサ構成
複数台導入してもアプライアンスだけで設定同期、管理可能
透過プロキシ
負荷分散、冗長性はネットワーク機器で制御するのが一般的
負荷分散、冗長性はロードバランサで制御
MWGのHA機能で冗長性をMWGの負荷分散機能を使用
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Gateway オンプレミスモデル
7
製品名 McAfee Web Gateway
モデル WG4500-D WG5000-E WG5500-E
外形 1U 1U 1U
プロセッサ(CPUx個数)
4コア(4スレッド) x1 10コア(20スレッド) x2 20コア(40スレッド) x2
スループット(Mbps)
727 4363 5225
メモリ(GB)
64 GB 96 GB 128 GB
ハードディスク容量(GB)
1000x2 960x2 960x2
ハードディスクの冗長性 RAID-1 RAID-1 RAID-1
インターフェース数6
10/100/1000BASE-TX他
41000/10000BASE-TX他
210/100/1000BASE-TX他
41000/10000BASE-TX他
210/100/1000BASE-TX他
消費電力(W)
255 550 650
電圧(V)
110V(90Vrms-140Vrms)220V(180Vrms-240Vrms)
110V(90Vrms-140Vrms)220V(180Vrms-264Vrms)
110V(90Vrms-140Vrms)220V(180Vrms-264Vrms)
電源冗長 - 〇 〇
本体価格 1,557,661円 3,223,203円 4,959,220円
HW年間サポート費用 311,533円 644,641円 991,844円
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Gateway オンプレミスモデル (注意事項)
8
*1
型番及び定価は2020年9月時点のものとなります。本体価格には初年度のサ
ポート費用は含まれません。ソフトウェアユーザライセンス(WSGライセン
ス)費用が別途必要です。価格は消費税を含みません。
*2
ハードウェアサポート費用です。オンサイト保守費用は含まれておりません。価格は消費税を含みません。
導入環境における利用機能とRequest/Sec要件に基づいたアプライアンスのモデル選択と台数
のサイジングが必要です。
HWスペックシートは以下URLを参照ください。
https://www.mcafee.com/enterprise/en-us/assets/technical-specifications/ts-web-gateway-e-model-appliance-specifications.pdf
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Gateway オンプレミスモデル仮想アプライアンス
9
製品名 McAfee Web Gateway
モデル*1
4cores 8cores 16cores 32cores 64cores
プロセッサ*24 x Intel(R) Xeon(R) CPU E5-
2680 v4 @ 2.40GHz8 x Intel(R) Xeon(R) CPU E5-
2680 v4 @ 2.40GHz16 x Intel(R) Xeon(R) CPU E5-2680 v4 @ 2.40GHz
32 x Intel(R) Xeon(R) CPU E5-2680 v4 @ 2.40GHz
64 x Intel(R) Xeon(R) CPU E5-2680 v4 @ 2.40GHz
メモリ 推奨値 32GB 最小値 16GB
ハードディスク 推奨値 500GB 最小値 200GB
ハイパーバイザー*3 VMware ESXi/ Microsoft Hyper-V
本体価格*4 (ソフトウェアユーザーライセンスが必要)
年間サポート費用*4 (ソフトウェアユーザーライセンスサポート費用が必要)
*1 モデル名はサイジング時の目安としての名前で、販売用型番ではありません。ソフトウェアライセンスで使用可能です。*2 プロセッサの種類およびcore数は目安です。導入環境における利用機能とRequest/Sec要件に基づいた仮想アプライアンスのスペックと台数のサイジングが必要です。*3 サポート対象となるハイパーバイザは資料作成時点では下記のとおりです。VMware ESXi:6.0 Update2, 6.5, 6.5 Update2, 6.7 Update1, 6.7 Update2Microsoft Hyper-V:Windows Server 2016 R2 (64ビット) / Windows Server 2012 R2 (64ビット) / Microsoft Hyper-V Server 2016 R2 (64ビット) / Microsoft Hyper-V Server 2012 R2 (64 ビット) / Windows Server 2008 R2 (64 ビット)*4 別途ハイパーバイザー用のハードウェアをお客様で用意してください。仮想アプライアンス版の利用についてはユーザライセンス/サポート費用のみを購入いただくことで利用可能となっており、稼働させるアプライアンスの台数に制限はありません。
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Gateway サイジングガイド
10
WG-4500-D WG-5000-D WG-5500-D
サイジング指標
URL +Anti-Malware
URLフィルタのみURL +Anti-Malware
URLフィルタのみURL +Anti-Malware
URLフィルタのみ
リクエスト数/sec 420 rps 1,000 rps 880 rps 2,750rps 2,770 rps 7,030 rps
スループット 35 Mbps 82 Mbps 72 Mbps 225 Mbps 227 Mbps 575 Mbps
ユーザ数 4,200 10,000 8,800 27,500 27,700 70,300
ハードウェアスペック
メモリ 64 GB 96 GB 128 GB
最大スループット 727 Mbps 1,522 Mbps 4,688 Mbps
HDD 2 x 1 TB 2 x 600 GB 6 x 300 GB
電源 1 x 350 W 2 x 750 W 2 x 750 W
・ MWG ver.7.6.xベース、Proxy modeを想定した値です。・コンテンツサイズは約10KBを想定しています。・ SSL復号を実施する場合は上記指標値の7割程度を目安としてください。・サイジングの際、通信要件の優先順位は リクエスト数/sec > スループット > ユーザ数となります。※各値はお客様環境により増減する可能性がございますのでご留意ください。
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee Web Gatewayを選択いただくポイント
11
① WSGライセンス (ベースのライセンス、詳細は後述) を購入いただくことで、任意の数のVMを立てることができる (検証環境の圧縮)ポリシーファイルも共通なので、検証環境を作りやすい
②WSGライセンスでURLフィルタ機能も利用可能
③Webプロキシ、URLフィルタやアンチウイルス機能を単一の筐体で実現
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
MWGの設定をWGSCに同期することで、オンプレとクラウドで共通のフィルタポリシーで運用することが可能
WGCS単体では制限される機能について、ハイブリッド構成では一部の設定が可能になる
ハイブリッド構成
12
ポリシー同期
管理GUIへのアクセスによる設定変更
管理者
オンプレミスHW/仮想アプライアンス/AWS
McAfee Web Gateway
クラウドサービス
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
MWG vs WGCSでの主な機能差分
13
MWG WGCS WGCS Hybrid構成時
ウイルス対策アクション 詳細な設定(GAMの感度設定など) 簡易な設定(ON / OFF) 詳細な設定(GAMの感度設定など)
サンドボックス(ATD)連携 可 不可 可(Azure上のvATDとは連携可能)
ブロック画面のカスタマイズ 可日本語テンプレート有 可(GUIから設定。日本語テンプレート無し)
可(日本語テンプレート使用可能)
ログのカスタマイズ 可 任意のフォーマットで出力可 不可(出力項目固定) 不可(出力項目固定)
ホワイトリスト・ブラックリストの登録
可 HTTP/HTTPS/FTPからのリストインポート可
可(GUIからのCSVインポート) 可
コーチング(警告画面を出してボタンクリックで表示)
可 不可 可
カスタムヘッダ挿入 可 不可 可
Next Hop Proxy 可 不可 不可
ICAPクライアント 可 不可 可
ICAPサーバ 可 不可 不可
DLP 可 不可 可
CA証明書のインポート 可 不可 可
Proxyポート番号のカスタマイズ 可 不可 (80, 443, 8080, 8084(SAMLのみ), 9090固定)
不可 (80, 443, 8080, 8084(SAMLのみ), 9090固定)
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
CASB連携
14
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
CASB連携により、クラウドサービスの利用状況を可視化
15
SaaS利用状況の把握
従業員のアクセスログをCASBで解析し、どのようなリスクのクラウドに、誰がどれだけ利用しているか可視化URLフィルタだけでは判断がつかない、クラウドサービスの抱えるリスクを明らかに
Yahoo!メール
Tumblr
Evernote
新浪微博
VK SlideShare
無数のクラウドサービス
アクセスしたクラウドサービス数
サービスのリスクと、アクセスしたユーザ、アップロード量等
社内
Firestorage
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
社内
MWG + MVISION Cloud
16
McAfee Web Gateway
MVISION Cloud
Internet
MVISION Cloud Connector②プロキシログを転送
③トークナイズされたログ情報を転送
④クラウド利用状況可視化
⑤利用制限するサービスを選択
⑥URLリストを連携
⑧URLリストを定期ポーリングにより取得
⑦URLリストをMWG取り込み可能なHTTPページとして公開
①クラウドサービスを利用
社内端末
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
社内
MWG + WGCS + MVISION Cloud
17
McAfee Web Gateway
MVISION Cloud
Internet
MVISION Cloud Connector
Web GatewayCloud Service
①クラウドサービスを利用
②プロキシログを転送
③トークナイズされたログ情報を転送
④クラウド利用状況可視化
⑤利用制限するサービスを選択
⑥URLリストを連携
⑧URLリストを定期ポーリングにより取得
ポリシー同期
⑦URLリストをMWG取り込み可能なHTTPページとして公開
持ち出し端末
社内端末
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
ライセンス
18
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfee社 Web Gateway ライセンス機能対応表
19
要件 機能名 WPS *1 SWE WSG *1 GAM *2
オンプレミスプロキシ機能 *1 MWG (McAfee Web Gateway) レ レ
クラウドプロキシ機能 MWGCS (McAfee Web Gateway) レ レ
アンチウィルス機能+脅威インテリジェンス
GAM (Gateway Anti-Malware) レ レ レ
端末エージェント機能(クラウドプロキシ利用時)
MCP (McAfee Client Proxy) レ レ (レ)
レポーティング機能 CSR *3 (Content Security Reporter) レ レ
ePO (ePolicy Orchestrator) レ レ
【提供形態】WPS/SWE/GAMはサブスクリプション形式での提供となります。(WSGはパーペチュアル形式での提供)
*1 McAfee社アプライアンスをご要望の場合は、別途アプライアンス筐体のご購入が必要です。Virtual Appliance版をご要望の場合は、別途VMWare ESXi等のリソースをご用意いただく必要がございます。URLフィルタなどのセキュリティ機能と初年度SWサポートが含まれております。
*2 WSGのアドオンライセンスとなります。GAM単体での販売はありません。アンチウィルス機能での脅威インテリジェンスを利用したい場合にご購入ください。 URLレピュテーション機能はGAMは不要です。
*3 CSRはソフトウェアでの提供となります。ご利用の場合は、別途Windows Serverをご用意いただく必要があります。また、あわせてePOサーバとデータベースをご用意いただく必要があります。
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
McAfeeライセンス機能比較表(オンプレのみ利用の場合)
20
McAfee
機能 筐体 ライセンス
①
・プロキシ機能※DATファイルを用いた静的なシグネチャマッチングによるアンチウィルス機能を含む
+・URLフィルタリング
WGシリーズ WSG
②
・プロキシ機能・URLフィルタリング
+・ウィルススキャン
+・レポーティング
WGシリーズ
※ CSR(McAfee Content Security Reporter)ソフトウェアをWindowsサーバにインストール。
別途ePOサーバも必要です。
WSG+ or WPS
GAM
Copyright © 2004-2020 Macnica Networks Corp. All Rights Reserved.
お問合せ
• 本資料に記載されている会社名、商品、サービス名等は各社の登録商標または商標です。なお、本資料中では、「™」、「®」は明記しておりません。
• 本資料は、出典元が記載されている資料、画像等を除き、弊社が著作権を有しています。
• 著作権法上認められた「私的利用のための複製」や「引用」などの場合を除き、本資料の全部または一部について、無断で複製・転用等することを禁じます。
• 本資料は作成日現在における情報を元に作成されておりますが、その正確性、完全性を保証するものではありません。
【本件についてのお問合せ先】
マクニカネットワークス株式会社
McAfee製品担当
Mail: [email protected]
TEL: 045-476-2010
URL : www. macnica.net
21