Blog

ホワイトペーパー|クラウドの世界を支える先進のネットワーク

2022年9月26日

概要

インターネットプロトコルスイート、より一般的にはTCP/IPと呼ばれ、インターネットの中心となるコンピュータネットワークモデルおよび通信プロトコルのセットを表します。 TCP/IPプロトコルの設計目標は、ネットワークの相互接続を可能にすることでしたが、何千億ものデバイスが接続されると予想される、来るべきモノのインターネット市場への利用を考えると、その欠点は明らかです。

本論文では、このようなTCP/IPネットワークの欠点を、クラウド・コネクテッド・ワールドのために解決するためのテクニカルペーパーです。

クラウドコネクテッドは、これまでの市場とは異なり、市場規模とデバイスの数の両方においてチャンスをもたらすものです。その結果生じるセキュリティ、規模、導入の容易さといった新たな課題に対応するため、ネットワーキング・テクノロジーは進化しなければなりません。

TCP/IP≠エンド・トゥ・エンド

IoTの基本的な課題は、TCP/IPベースのインターネット接続ではエンドツーエンドの信頼の連鎖を確保する能力がほとんどなく、連鎖上の独立したネットワークがそれぞれ独立した予測不可能な脆弱性のポイントを表しているという最も大きな制約があるということです。 

インターネットプロトコル(IP)アドレスは、ネットワークインターフェイスを識別するユニークな方法を提供するという点で、街路の住所によく似ている。 IPアドレスは物理的なデバイスを表すと思われがちですが、仕様の明確な意図としては、ネットワークインターフェイスを表すものであり、ネットワークインターフェイスは、エンドツーエンド接続を管理するために何らかのルーティング方法が用いられる別のネットワークと関連付けることができることを明確に記しておくことが重要です。 

クラウド・コネクテッド・ワールドでは、エンド・ツー・エンドの信頼の連鎖を確保できるセキュアな直接接続技術が必要です。

Remote.Itの安全な接続は、標準のlocalhostインターフェイスを使用して任意のTCP/IPスタックに接続する移植可能なCコードの小片を使用して行われます。このソフトウェアは、Linuxプラットフォーム上のユーザースペースでデーモンとして実行されますが、LwIPやuIPをベースとしたものなど、あらゆるTCP/IPスタックに移植することが可能です[1]。使用例としては、PC上のlocalhostインターフェイスにより、ユーザーは同じPC上のWebサーバーに安全に接続することができる。ユーザーは、ブラウザに127.0.0.1といったlocalhostのアドレスを入力する。127.0.0.1のアドレスを使用した接続は、Webサーバーとブラウザーの間でやり取りされる情報がPCから離れることがないため、安全です。リモート.これは、ユーザーがリモートデバイスからWebサーバーに接続しても、127.0.0.1ローカルホストアドレスを使用して接続することができます。データは、Remote.It接続とlocalhostインターフェイスを使用して、Webサーバーとリモートユーザーのデバイス間で安全かつ直接受け渡しすることができます。Remote.Itの直接接続は、TLSで保護されたトンネルを使用してlocalhostインターフェースを拡張し、例えば、CPU間のプロセス間通信に保護バスを使用するのと同じ方法でホスト間の通信を可能にします。リモート.It接続は、あらゆる種類のPC、モバイル機器、センサー、またはあらゆる種類のIoT(Internet of Things)機器間で行うことができます。

Remote.Itソフトウェアと安全な接続は、サイバーセキュリティ攻撃に対する第一線の保護となります。NSAは、インターネット制御システム(ICS)のユーザーがネットワークデバイスを発見し、ネットワークのトポロジーを決定するためにスキャンを実行することを提唱しています[2]。残念ながら、攻撃者が同じ種類のスキャンを実行することは簡単です。Shodan(インターネット用)とFing(ローカルエリアネットワーク用)は、簡単に使えるが高度なネットワークスキャナツールの一例で、攻撃を支援するために使用されることがあります。Remote.Itでは、HTTP接続などの任意のサービスを、127.0.0.0/8のクラスアドレスを使用してRemote.Itサービスに接続またはバインドすることが可能です。TCP/IPスタックは、127.0.0.0/8またはlocalhostクラスのアドレスからの着信接続にのみ応答するようになりました。RFC1060によると、localhostアドレスが外部ネットワークに表示されることはないため、TCP/IPスタックは外部からの侵入に対して安全な状態になりました。さらに、外部からの要求に対して、すべてのポートを閉じることができます。外部IPアドレスからの接続を制限し、外部ポートをすべて閉じると、ネットワークスキャナが検出するTCP/IPスタックの指紋がなくなり、Remote.Itソフトウェアを使用しているデバイスを効果的に隠蔽または隠蔽することができます。Remote.Itデバイスのクローキングは、インベントリやテストなどの正当なスキャンを実行する場合は選択的にオフにするか無効にし、通常の使用ではポートスキャンや他のネットワーク侵入の悪用から守るために有効にすることができます。

Remote.Itは、認証されたユーザーがモバイル端末やブラウザでRemote.Itアプリケーションを使用して、あらゆるリソース(クラウドやIoT)に接続できるようにする技術です。Remote.It SaaS (Software as a Service) サーバーがユーザーを認証し、IoTデバイスとユーザー間の接続を開始し、仲介します。セッションごとの鍵がIoTデバイスとユーザーに送信され、サーバーが両方のエンドポイントに接続を引き渡すことで、ユーザーとリソースの間に安全な直接接続が確立されます。 

リモート.It接続技術は、シンプルでありながら柔軟で強力な技術であり、いくつかの方法で拡張することができます。例えば、センサーノードが信頼できるコードを実行し、Remote.It接続を介してクラウド上の信頼できる別のホストと通信することができます。リモート.It接続はTCP/IPレベルのサービスとして動作するため、二次的な認証は必要ありません。

拡張のもう一つの例は、サービスレベルの仮想化を可能にすることで、単一のデバイス上でHTTP/HTTPS、ssh、VNCのための独立したRemote.Itの安全な接続を行うことができます。 また、1つのRemote.It接続の中で、サービスをバンドルしたり、結合したりすることも可能です。Remote.It技術のあるプロダクションでは、(現場で10万台以上のデバイスを使用して)IPカメラのビデオストリームが制御チャンネルとバンドルされています。TCP/IPレイヤーの上で処理されるバンドル接続は、TCPバッファフィルレートに応じてビデオストリームのビットレートを変化させることで、ライブストリーミングビデオのQoSを可能にします。このようなRemote.It技術の利用は、TCP/IPの強力な拡張を意味します。たとえば、最近、Winstein(Stanford)と Balakrishnan(MIT)は、同様の制御レイヤーによって、4G データチャネル自体に変更を加えずに、4G LTE 接続の帯域幅または遅延のいずれかを数倍改善できることを示しました[4] 。

Remote.Itの接続技術は、機器間の直接接続を実現し、STUN、TURN、ICEなどの有料で複雑なクラウドサービスは必要ありません。また、Remote.Itの直接接続は、クラウドベースの接続よりも低遅延を実現します。 Remote.Itは、ユーザーやIoTデバイスからクラウドへの接続の低遅延性を利用することができます。

簡単なプロビジョニング

Remote.Itの技術は、クラウドリソースの登録、プロビジョニング、デプロイメントを容易にするために設計されています。例えば、Amazon AWS、Microsoft Azure、Google Cloud Platform(GCP)の新しいサーバーインスタンスは、ユーザーと同じ外部IPアドレスを使用しているという事実に基づいて、プロビジョニングや再プロビジョニングを行うようプログラムすることが可能です。リモート.It接続は、エンドポイントから発信されるため、ポートフォワーディングやファイアウォールの設定なしに直接接続することができます。この接続技術により、クラウドリソース、IoTデバイス、およびユーザーは、異なるネットワーク構成間で移行したり、異なる携帯電話や衛星ネットワーク上またはその背後で動作したりすることができるようになります。Remote.Itの導入は、単に小さなスタンドアロン・バイナリを必要とし、エンジニアリングの労力は最小限に抑えられます。 Remote.Itは、LANや近接ネットワークを安全な方法でインターネットに拡張することを可能にします。

Remote.Itは、Remote.Itソフトウェアを搭載した機器同士で直接安全に接続することも、搭載していない機器との間でリレーサーバを利用して接続することも可能です。リモート・イット対応の中継サーバーは、ゲートウェイの一部として、VPC内のクラウドリソースやLAN上のIoTデバイスを、ゲートウェイへのインターネット接続が遮断された状態でも通信できるようにすることができる。使いやすさは、アクセス、所有権、制御の制御を含むサービスやデバイスの共有にも及びます。また、Remote.Itは、登録、プロビジョニング、ネットワーク監視、ジオロケーションサーバー、あらゆるプラットフォームとの統合を可能にするキットなど、Remote.It接続技術をサポートするSaaSインフラを提供しています[5] [6]。

参考文献

[1]http://en.wikipedia.org/wiki/LwIPhttp://en.wikipedia.org/wiki/UIP_(micro_IP)は、組み込みシステムで使用される一般的な低フットプリント TCP/IP スタックである LwIP と uIP について説明しています。

[2]https://www.nsa.gov/ia/_files/ics/ics_fact_sheet.pdfA Framework for Assessing and Improving the Security Posture of Industrial Control Systems (ICS)、Systems and Network Analysis Center, NSA, Released:2010 年 8 月 20 日 バージョン:1.1。IoT および ICS デバイスに対する NSA の推奨事項を記載。

[3]http://www.icri-sc.org/fileadmin/user_upload/Group_TRUST/PubsPDF/trustlite.pdfKoeberl, Patrick, Steffen Schulz, Ahmad-Reza Sadeghi, and Vijay Varadharajan."TrustLite: a security architecture for tiny embedded devices".InProceedings of the Ninth European Conference on Computer Systems, p. 10.ACM、2014年。インテルの Trustlite 信頼および認証技術について説明します。

[4] Winstein, Keith."進化するインターネットのためのトランスポートアーキテクチャ".PhD diss., Massachusetts Institute of Technology, 2014. Hari Balakrishnan の助言を受けている。携帯電話接続の帯域幅とレイテンシーを改善するためのTCP/IPレイヤーの上のチャネルモデルの使用について説明しています。

[5] 米国特許US8447843(優先日2006年9月)には、Weaved技術がネットワークに接続されたIoTデバイスを識別、設定、アクセスする方法が記載されています。

[6] 米国特許出願 US20150052253

関連ブログ