NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

こんにちは、丸山満彦です。

NISTがマルチテナントクラウド環境におけるコンテナ展開を保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書である、NISTIR 8320A (Draft) Hardware-Enabled Security: Container Platform Security Prototypeについて意見募集を行っていますね。。。

対象読者は、

• セキュリティエンジニアやアーキテクトなどのセキュリティ専門家
• クラウドサービスプロバイダのシステム管理者やその他の情報技術（IT）専門家
• マルチテナント型クラウド環境におけるコンテナ展開のためのプラットフォームセキュリティを向上させるためにハードウェア対応のセキュリティ技術や技術を活用できる可能性のあるハードウェア、ファームウェア、ソフトウェアの開発者

ということです。。。

● NIST

・2020.12.07 (Update) Safeguarding Containers in Multi-Tenant Cloud Environments: Draft NISTIR 8320A is Available for Comment

・2020.12.07 (Publication) NISTIR 8320A (Draft) Hardware-Enabled Security: Container Platform Security Prototype

・・[PDF] NISTIR 8320A (Draft)

Supplemental Material:

・・(web) Trusted Cloud projects

 

---

Announcement

In today’s cloud data centers and edge computing, attack surfaces have significantly increased, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted.

This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a proof-of-concept implementation of the approach—a prototype—that is intended to be a blueprint or template for the general security community.

...

Abstract

In today’s cloud data centers and edge computing, attack surfaces have significantly increased, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a proof-of-concept implementation of the approach—a prototype—that is intended to be a blueprint or template for the general security community.

 

---

ちなみに、コンテナセキュリティについては、Paloaltoのブログの次の記事が分かりやすいかもしれません・・・

● Paloalto

・2019.06.13 コンテナの分離レベルを強化する: サンドボックス化コンテナ テクノロジの概要

原文は、Paloalto UNIT-42のブログです。。。

・2019.06.06 Making Containers More Isolated: An Overview of Sandboxed Container Technologies

 

---

目次です・・・

原文	仮訳
1 Introduction	1 はじめに
1.1 Purpose and Scope	1.1 目的と範囲
1.2 Document Structure	1.2 ドキュメントの構造
2 Prototype Implementation	2 プロトタイプの実装
2.1 Objective	2.1 目的
2.2 Goals	2.2 目標
2.2.1 Stage 0: Platform attestation and measured worker node launch	2.2.1 ステージ 0：プラットフォームの認証と計測されたワーカーノードの起動
2.2.2 Stage 1: Trusted workload placement	2.2.2 ステージ 1：信頼できるワークロードの配置
2.2.3 Stage 2: Asset tagging and trusted location	2.2.3 ステージ 2：資産のタグ付けと信頼できる場所
3 Prototyping Stage 0	3 プロトタイピング段階0
3.1 Solution Overview	3.1 ソリューションの概要
3.2 Solution Architecture	3.2 ソリューション・アーキテクチャ
4 Prototyping Stage 1	4 プロトタイピング段階1
4.1 Solution Overview	4.1 ソリューションの概要
4.2 Solution Architecture	4.2 ソリューション・アーキテクチャ
5 Prototyping Stage 2	5 プロトタイピング段階2
5.1 Solution Overview	5.1 ソリューションの概要
References	参考文献
Appendix A— Hardware Architecture and Prerequisites	付録 A- ハードウェアアーキテクチャと前提条件
A.1 High-Level Implementation Architecture	A.1 ハイレベルの実装アーキテクチャ
A.2 Intel Trusted Execution Technology (Intel TXT) & Trusted Platform Module (TPM)	A.2 インテル トラステッド実行技術 (Intel TXT)  & トラステッド・プラットフォーム・モジュール (TPM)
A.3 Attestation	A.3 認証
Appendix B— Platform Implementation: AMI TruE	付録 B- プラットフォームの実装：AMI TruE
B.1 Solution Architecture	B.1 ソリューション・アーキテクチャ
B.2 Hardware Description	B.2 ハードウェアの説明
B.3 AMI TruE Installation and Configuration	B.3 AMI TruE のインストールと構成
B.3.1 Installing AMI TruE Trust Manager	B.3.1 AMI TruE Trust Manager のインストール
B.3.2 Installing AMI TruE Attestation Server	B.3.2 AMI TruE 認証サーバーのインストール
B.3.3 Configuring Firewall for AMI True	B.3.3 AMI True ファイアウォールの設定
B.3.4 Configuring Device Access Keys	B.3.4 デバイスアクセスキーの設定
B.3.5 Configuring Discovery Range and Manageability Range	B.3.5 発見範囲と管理範囲の設定
B.4 Trusted Cloud Cluster Installation and Configuration	B.4 トラステッドクラウドクラスタのインストールと構成
B.4.1 Provisioning TruE Agent Remotely	B.4.1 TruE エージェントのリモート・プロビジョニング
B.4.2 Provisioning TruE Agent Manually	B.4.2 TruE エージェントの手動プロビジョニング
B.5 Using AMI TruE	B.5 AMI TruEの使用
B.5.1 Monitoring Trust Status using AMI TruE	B.5.1 AMI TruE を使用したトラスト・ステータスの監視
B.5.2 Generating Trust Reports	B.5.2 トラストレポートの生成
B.5.3 Tagging Platforms Using AMI TruE	B.5.3 AMI TruE を使用したプラットフォームのタグ付け
B.5.4 Receiving Trust Event Alert Notification	B.5.4 トラストイベントアラート通知の受信
B.5.5 Using AMI TruE for Remediation	B.5.5 リメディエーションのための AMI TruE の使用
Appendix C— Platform Implementation: Kubernetes	付録 C- プラットフォームの実装：Kubernetes
C.1 Prototype Architecture	C.1 プロトタイプアーキテクチャ
C.2 Hardware Description	C.2 ハードウェアの説明
C.3 Kubernetes Installation and Configuration	C.3 Kubernetesのインストールと設定
C.3.1 Kubernetes Control Node Configuration	C.3.1 Kubernetesのコントロールノードの設定
C.3.2 Kubernetes Worker Configuration	C.3.2 Kubernetes Workerの設定
C.3.3 Kubernetes Orchestration	C.3.3 Kubernetesオーケストレーション
Appendix D— Supporting NIST SP 800-53 Security Controls	付録 D- NIST SP 800-53 セキュリティコントロールのサポート
Appendix E— Cybersecurity Framework Subcategory Mappings	付録 E サイバースセキュリティフレームワークのサブカテゴリマッピング
Appendix F— Acronyms and Other Abbreviations	付録 F-頭字語およびその他の略語