こんにちは。
C&S技術統括部のかみゃです。
前回テレワークのセキュリティについて書きましたが、いろいろあって日にちが開いてしまいました。
今回はTempered Networks社のAirwallについて書きます。
TEMPERED Airwallを使うと、既存のIPネットワークインフラを変更することなく、既存のネットワークから隔離、隠蔽するステルスネットワークを構築できます。
社内のイントラネットワークに導入して拠点間の隔離ネットワークにしようしてもいいですし、もちろんインターネット上にVPNとして使用することもできます。
ということは、社内ネットワークと自宅やサテライトオフィス等を接続してテレワーク向けのネットワークを構築することも可能です。
そんなわけで、弊社(C&S技術統括部)ではテレワーク用のVPNとしてTempered Airwallを導入しています。
TEMPERED Airwallは既存のVPN製品とは違いHIPとIDNという技術を用いてエンドツーエンドを暗号化するという特徴があります。
HIPって何?
HIP(Host Identity Protocol)とは米国海軍で開発されたID/Locatorの分離をコンセプトにしたプロトコルで、ボーイング社のジャンボジェット開発のプロジェクトでの使用実績があります。RFC5201、RFC7401で定義されています。
TCP/IPはインターネット上の名前(ID)と場所(Locator)を特定してIPアドレスで紐づけをしています。
HIPはIDとLocatorの分離をコンセプトにしていて、識別子に2048bitのRSA公開鍵を使い暗号化してユニークなIDとして識別します。
TCP/IPはまず繋ぐというコンセプトですが、HIPはまず認証&認可というセキュアなコンセプトになっています。というわけでHIPにはDoSやMITMに耐性があるというメリットがあります。
HIPでのセッション確立後はIPSecと同等のAES-256で暗号化した通信が開始されます。
VPN以外にもE2E暗号化やマイクロセグメンテーションといった使い方もできます。
IDNって何?
IDN(Identity Defined Networking)とはHIPを用いたオーバーレイネットワークのことで、
TCP/IPに縛られない柔軟なネットワークの構築、管理が可能です。
IDを指定するだけなので、複雑なルーティング設定やファイアウォールのルール等は不要で複数拠点のネットワークでも一元管理ができるといったメリットがあります。
(インターネットを経由するときはTCP/IPネットワーク上にIDNを実装する形になるので、TCP/IP的に接続可能である必要があります)
と、このあたり実は昨年2019年初めに開催されたJANOG43 Meetingで弊社の御木がお話させて頂いた内容となりますので、詳しくはこちらをご覧ください。
今回はTempered Airwallが用いているHIP、IDNについて書きましたので、次回はTempered Airwallの提供形態と弊社の導入事例について書きます。
ところで、来る12/3(木)に弊社にて、OT/IoTセキュリティセミナー ~Tempered × Nozomi Networks ニューノーマル時代のOT/IoTセキュリティソリューション~と題したセミナーを開催致します。もちろんオンラインでの開催なので全国どこからでもご参加可能です。Temperedやnozomi、OT、IoTにご興味のある方はぜひこちらからお申込みのうえご参加ください。
