Thales nShield HSMと

Citrix NetScalerのインテグレーション

SSLのセキュリティ強化タレスジャパン株式会社 2015年6月

www.thales-esecurity.com

2 もくじ

タレスグループについて

WEB SSLの課題と解決策

HSMについて

ADCとHSMのインテグレーション

まとめ

3 タレスグループについて

タレスは「安全」「セキュリティ」が不可欠な分野でスマートなソリューションを提供しています！

軍事防衛航空 宇宙 セキュリティ交通・輸送

より安心して暮らせる世界を実現するための信頼できるパートナー

4 WEBアプリケーションの課題と解決策

WEBベースのアプリケーション増加！ 基幹システムもWEBベース

サービス停止やダウンタイムは許されない

ピーク時でも、安定稼働・高パフォーマンス

CitrixのADCが解決！ ネットワークレベルでトラフィックを管理することで、パフォーマンスを最適化

リソースを必要とするSSLの暗号処理をオフロードすることで、システムの信頼性を向上

CitrixのNetScalerがSSLトラフィックを効果的に制御！ WEBサーバの使用状況を最適化

WEBアプリの処理スピードを向上

5 SSLを取り巻く脅威

長い間「安全」だと信じられてきたSSL

SSLはオンライン取引におけるデファクト

2014年SSLに関連する脆弱性が多数報告

SSLに注目が集まった年でした…

… Heartbleed

… SSL MITM（中間者攻撃）

… POODLE

… FREAK

SSLで利用する鍵をHSMの境界で管理するメリット

➡ 新しい脅威が出現しても慌てて対処しなくても良い！

6 SSL セキュリティ面の課題と解決策

SSLトラフィックの増加＝暗号処理の増加 HSMの境界外で処理されるSSL鍵は攻撃に対して非常に脆弱！

トラフィック増加による暗号処理・鍵管理の煩雑化

アプリのパフォーマンスを犠牲にすることなく、安全な環境が必要

HSMによる鍵の強力な保護と効率的な暗号処理 鍵をHSM境界内で保護し、ソフトウエアと分離

暗号処理・鍵管理をオフロード ➡ パフォーマンスの最適化

SSLで利用する鍵の一元管理

解決策：

ハードウエアベースの鍵管理！リソースが必要な暗号処理・手間のかかる鍵管理を専用デバイス「HSM」に任せる！

7 nShield Connect+

nShield HSMはFIPSの認定取得済みです。

高パフォーマンス！ネットワーク型HSM マルチクライアント接続・高可用性を意識した製品設計

堅牢な鍵管理と保護

FIPSやCCといった政府機関が要求するセキュリティ認定取得済み

多様な暗号アルゴリズムに対応

ECC（楕円曲線暗号）の生成・署名は世界最速

FIPSやCCといった政府機関が要求するセキュリティ認定取得済み

鍵のアクセスログ等、監査や追跡調査の負担を軽減

8 HSM – ハードウエア・セキュリティ・モジュール

HSMとは？

Hardware Security Module

ハードベース、耐タンパ性

鍵管理とアプリケーションサーバの分離

ハードベースの暗号処理

HSMの役割？

強固な暗号処理

真の乱数の生成機能

暗号鍵のセキュリティ強化

鍵管理とポリシー管理

セキュリティ境界

ビジネスアプリ アプリケーションデータ

HSM鍵の生成・格納管理・保護

堅牢な保護セキュリティ高度な暗号処理

データの署名・暗号・復号要求 処理されたデータ

Thales e-Security OPEN

9 NetScaler “ADC” アプリケーション・デリバリ・コントローラ

A

D

C

Web

Server

Web

Server

Web

Server

WWW

膨大なリクエスト接続要求

負荷分散

データセンター Webサーバ群

NetScalerトラフィック管理

フロントエンド

10 システム構成図・ユーザ事例

Thales nShield HSMとCitrix NetScaler安全な鍵管理SSL暗号処理のオフローディングと高速を実現

11 コンポーネント・論理図

(Source: http://support.citrix.com/proddocs/topic/netscaler-traffic-management-10-5-map/thales_architecture_con.html)

12 ADCとHSMのインテグレーション手順

13 /13 /

NetScaler ADCに最適化されたHSM

鍵をホストから物理的に分離（強力なセキュリティ）

暗号処理・鍵管理をHSMへ（高パフォーマンス）

政府機関が要求するセキュリティ基準を満たす（FIPS/CC)

可用性・拡張性・柔軟性（増設もかんたん）

導入メリット

権限・役割・アクセスを徹底管理 ➡ 不正アクセスをブロック！

相互に「みまもる」認証方式 ➡ 内部不正に効く！

鍵のアクセス履歴・レポート ➡ 監査や追跡調査を支援！

本日の講演のまとめ

14 /14 /

Citrix とThalesが提供するパフォーマンスを最適化するSSL鍵管理システム

信頼できる方法での[暗号鍵管理]はもはや必須です！

ありがとうございましたお気軽にご相談ください

jpnsales@thales-esecurity.comjp.thales-esecurity.com