SSL コンテント プロクシ
暗号化されたWebの脅威からネットワークを保護するための可視性
SSL暗号化コンテンツの復号化と再暗号化
基本機能
インターネット利用には、機密データを保護するためにSSL暗号化が不可欠である。ところが、SSL暗号化は、クライエントとサーバの間に制御不可能なトンネルを作り出し、企業の セキュリティ機器やポリシィを迂回する攻撃進路をインターネット犯罪者に与えてしまう。また、企業内部の人間は、SSL暗号化により専用の "黒いVPN" を作り出し、検知されること無しに世界中のあらゆるシステムとの間でデータを送受信することが可能である。SCIPは、SSL暗号化コンテンツを一旦復号化し、セキュリティ機器が内容を検査した後再び暗号化することで、この問題を解決する。
SCIPの動き方
1. クライエント(1)は、Webサーバ(2)にセキュアな接続を要求する。
2. このデータの流れは、インバウンドSCIP(3)にリダイレクトされる。
3. インバウンドSCIPは、WebサーバからURLを取り出し、URLが共通名に一致する証明書を動的に生成する。この証明書は、クライエント側で信用できる認証局としてインポートされたSCIPの認証局で署名されている。クライエントとのSSLハンドシェイク完了後、暗号化されたデータの流れを復号化する。復号化されたデータは、プレーンなHTTPとして、セキュリティ機器(4)により検査可能となる。
4. アウトバウンドSCIP(5)は、クライエントの立場でWebサーバへのセキュアな接続をオープンし、復号化されたデータの流れを再暗号化する。Webサーバが証明書をアウトバウンドSCIPに送ることで、SSLハンドシェイクが行われる。この証明書は、アウトバウンドSCIPの一部である企業検証局により検証される。
5. 結果として、クライエントとインバウンドSCIP、アウトバウンドSCIPとWebサーバの2つのSSLデータの流れとなる。また、SCIPは、通常のHTTPデータが正しく転送されることも保証する。
ベスト-オブ-ブリードのオーバヘッド解消
各分野で最良のハードウェアやソフトウェア製品を選択しその組み合わせでシステム構築を行う「ベスト-オブ-ブリード」の場合、各セキュリティ機器ごとにSSL暗号化コンテンツの復号化と再暗号化を繰り返し行うことは、システム全体として大幅なオーバヘッドとなる。SCIPは、SSL暗号化コンテンツを復号化し、全てのセキュリティ機器が検査を行った後再び暗号化することで、このオーバヘッドを解消している。プロクシ モードの場合は無制限、ICAPの場合は4つのセキュリティ機器に復号化されたコンテンツを送ることができ、さらにこれらの混在も可能である。即ち、一度復号化されたコンテンツが、コンテント スキャニング、DLP、IPS、IDS、フィルタリング ソリューション等のセキュリティ機器に共有される。
プロファイルとアカウント
プライバシーを必要とする社長、役員、部門は、SSL暗号化コンテンツの復号化を望まない場合がある。SCIPは、個人やグループのプロファイルとアカウントを作成し、誰のSSL暗号化コンテンツを復号化あるいはトンネルするかの細かい制御が可能である。
インシデント管理
SCIPは、特定のURLあるいは証明書により、トラフィックをブロック、トンネル、許可することができる。証明書あるいはURLの追加が可能で、ユーザがこれらのサイトをいかにアクセスできるかを指定できる。
新しい証明書の自動追加
SCIPは、新しく出くわした証明書を自動的に追加するため、手動での追加あるいは追加のためのスクリプトを作る必要が無い。新しく出くわした証明書をいかに扱うかのポリシィが設定でき、一日おきに新しい証明書を使う銀行等のサイトにアクセスできないというようなエンドユーザからのサポート依頼を防ぐことができる。
証明書の検証
SCIPは、整合性と正当性を検証するため、全面的な証明書の検証を行う。コモンネーム、証明書期限切れ、悪用証明書、証明書チェーン、ワイルドカード証明書、CRL(証明書失効リスト)、OCSP(オンライン証明書失効情報確認プロトコル)リストをチェックする。
サービス仮想化
ソフトウェアなので、Linux、Windows、Solaris、さらに仮想環境も含むあらゆるプラットフォームや環境に適合する。
位置認識セキュリティ「GeoShield」(新機能)
地理的な位置により、システム、サーバ、Webサイトとの接続をブロックすることができる。
セキュリティ製品との連携
既存のセキュリティ機器とは、フォワード プロクシ、プロクシ チェーン(ICAP)、トランスペアレント ブリッジによる連携が可能である。均一な統合と相互運用性を継続確保するため、全てのセキュリティ製品との連携が可能で、主要なセキュリティ機器とのテストが継続的に行われている。フォワード プロクシの場合、インバウンドとアウトバウンドのSCIPは、同じマシンへのインストールも可能である。プロクシ チェーンの場合、最大4台迄のICAPサーバが利用可能で、全てのコンテンツを順番に送信する。
スライド
技術白書
システム要件(2ページ目)
ユーザ例
評価版
【開発元】Microdasys Inc. http://www.microdasys.com/
【輸入元】先端技術研究所 http://www.ART-Sentan.co.jp/
045-978-1292 KHB16427@nifty.ne.jp