« IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。 | Main | ENISA 高度な仮名化手法とユースケース Data Pseudonymisation: Advanced Techniques and Use Cases »

2021.01.29

NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

こんにちは、丸山満彦です。

NISTがマイクロサービスのセキュリティに関するドラフトを公開していますね。。。

● NIST - ITL

・2021.01.26 SP 800-204B (Draft) Attribute-based Access Control for Microservices-based Applications using a Service Mesh

Executive Summary エグゼクティブサマリー
Two significant features of the application environment in emerging cloud-native applications are: 新たなクラウドネイティブ・アプリケーションにおけるアプリケーション環境には次の2つの特徴がある。
•   Applications have multiple loosely coupled components called microservices that communicate with each other across the network. •   アプリケーションは、ネットワークを介して相互に通信するマイクロサービスと呼ばれる複数の疎結合コンポーネントを持っている。
•   A dedicated infrastructure called the service mesh provides all services for the application (e.g., authentication, authorization, routing, network resilience, security monitoring), which can be deployed independently of the application code. •   サービスメッシュと呼ばれる専用のインフラストラクチャは、アプリケーションのすべてのサービス(認証、認可、ルーティング、ネットワーク回復力、セキュリティ監視など)を提供し、アプリケーションコードから独立して展開することができる。
With the disappearance of a network perimeter because of the need to provide ubiquitous access to applications from multiple remote locations using different types of devices, it is necessary to build the concept of zero trust into the application environment. Further, the cloud-native applications span different domains and, therefore, require increased precision in specifying policy by considering a large set of variables. The service mesh provides a framework for building these and other operational assurances. 離れた複数の場所から異なるデバイスを使ってアプリケーションにユビキタスアクセスを提供する必要性から、ネットワークの境界線がなくなってきており、アプリケーション環境にゼロトラストの概念を組み込む必要がある。また、クラウドネイティブ・アプリケーションは異なるドメインにまたがるため、多くの変数を考慮したポリシー指定の精度が求められる。サービスメッシュは、これらの運用保証やその他の運用保証を構築するためのフレームワークを提供する。
The framework includes: このフレームワークには以下が含まれる。
 •   An authenticatable runtime identity for services, the ability to authenticate application (user) credentials, and encryption of communication in transit and between services  •   サービスのための認証可能なランタイム・アイデンティティ、アプリケーション(ユーザー)の資格情報を認証する機能、トランジット中およびサービス間の通信の暗号化
•   A Policy Enforcement Point (PEP) that is separately deployable and controllable from the application; the service mesh’s side-car proxies •   アプリケーションとは別に配備可能で制御可能なポリシー施行ポイント(PEP)。
•   Logs and metrics for monitoring policy enforcement •   ポリシー施行を監視するためのログとメトリクス
The service mesh’s native feature to authenticate end-user credentials attached to the request (e.g., using a Java Web Token [JWT]) is augmented in many offerings to provide the ability to call external authentication and authorization systems on behalf of the application. The capability to deploy these authentication and authorization systems as services in the mesh also provides operational assurances for encryption in transit, identity, a PEP, authentication, and authorization for end-user identity. リクエストに添付されたエンドユーザーの資格情報を認証するサービスメッシュのネイティブ機能(例: Java Web Token [JWT]を使用)は、アプリケーションに代わって外部の認証・認可システムを呼び出す機能を提供するために、多くの提供物で拡張されている。これらの認証および認可システムをメッシュ内のサービスとして展開する機能は、トランジットの暗号化、ID、PEP、認証、およびエンドユーザー ID の認可のための運用上の保証も提供する。
The objective of this document is to provide deployment guidance for an authentication and authorization framework within a service mesh for microservices-based applications that leverages the features listed above. A reference platform for hosting the microservices-based application and the service mesh is included to illustrate the concepts in the recommendations and provide context in terms of the components used in real-world deployments.  この文書の目的は、上記の機能を活用したマイクロサービスベースのアプリケーションのためのサービスメッシュ内の認証・認可フレームワークの展開ガイダンスを提供することである。マイクロサービスベースのアプリケーションとサービスメッシュをホストするための参照プラットフォームは、推奨事項の概念を説明するとともに、実世界の展開で使用されるコンポーネントの観点からコンテキストを提供することを含む。

目次

Executive Summary エグゼクティブサマリー
1   Introduction 1 はじめに
1.1 Service Mesh Capabilities 1.1 サービスメッシュの機能
1.2 Candidate Applications 1.2 候補アプリケーション
1.3 Scope 1.3 範囲
1.4 Target Audience 1.4 ターゲットオーディエンス
1.5 Relationship to other NIST Guidance Documents 1.5 他の NIST ガイダンス文書との関係
1.6 Organization of this document 1.6 本書の構成
2   Microservices-based Application and Service Mesh – Reference Platforms 2 マイクロサービスベースのアプリケーションとサービスメッシュ - リファレンスプラットフォーム
2.1 Reference Platform for Hosting a Microservices-based Application 2.1 マイクロサービスベースのアプリケーションをホスティングするためのリファレンスプラットフォーム
 2.1.1  Limitations of Reference Hosting Platform for Security  2.1.1 セキュリティのためのリファレンスホスティングプラットフォームの限界
2.2 Service Mesh Reference Platform – Conceptual Architecture 2.2 サービスメッシュリファレンスプラットフォーム - 概念的なアーキテクチャ
 2.2.1  Service Mesh Functions for Reference Hosting Platform  2.2.1 参照ホスティングプラットフォームのサービスメッシュ機能
3   Attribute-based Access Control (ABAC) – Background 3 属性ベースのアクセス制御(ABAC) - 背景
3.1  ABAC Deployment for Microservices-based Applications Using Service Mesh 3.1 サービスメッシュを利用したマイクロサービスベースのアプリケーションのためのABAC展開
4   Authentication and Authorization Policy Configuration in Service Mesh 4 サービスメッシュでの認証と認可ポリシーの設定
4.1 Hosting Platform Configuration 4.1 ホスティングプラットフォームの構成
4.2 Service Mesh Configuration 4.2 サービスメッシュの構成
4.3 Higher-level Security Configuration Parameters 4.3 上位レベルのセキュリティ設定パラメータ
4.4 Authentication Policies 4.4 認証ポリシー
 4.4.1 Specifying Authentication Policies  4.4.1 認証ポリシーの指定
 4.4.2 Service-level Authentication  4.4.2 サービスレベル認証
 4.4.3 End User Authentication  4.4.3 エンドユーザ認証
4.5 Authorization Policies 4.5 認可ポリシー
 4.5.1 Service-level Authorization Policies  4.5.1 サービスレベルの認可ポリシー
 4.5.2 End-user Level Authorization Policies  4.5.2 エンドユーザレベルの権限ポリシー
 4.5.3 Model-based Authorization Policies  4.5.3 モデルベースの認可ポリシー
4.6 Authorization Policy Elements 4.6 認可ポリシーの要素
 4.6.1 Policy Types  4.6.1 ポリシータイプ
 4.6.2 Policy Target or Authorization Scope  4.6.2 ポリシー対象または権限範囲
 4.6.3 Policy Sources  4.6.3 政策ソース
 4.6.4 Policy Operations  4.6.4 ポリシー運用
 4.6.5 Policy Conditions  4.6.5 ポリシー条件
5   ABAC Deployment for Service Mesh 5 サービスメッシュのためのABAC展開
5.1 Security Assurance for Authorization Framework Enforcement 5.1 認可フレームワーク施行のためのセキュリティ保証
5.2 Supporting Infrastructure for ABAC Authorization Framework 5.2 ABAC 認可フレームワークのためのサポート・インフラストラクチャ
 5.2.1 Service-to-Service Request (SVC-SVC) – Supporting Infrastructure  5.2.1 Service-to-Service Request (SVC-SVC) - サポート・インフラストラクチャ
 5.2.2 End User + Service-to-Service Request (EU+SVC-SVC) – Supporting Infrastructure  5.2.2 エンドユーザ+サービスツーサービスリクエスト(EU+SVC-SVC)-支援インフラストラクチャ
5.3 Advantages of ABAC Authorization Framework for Service Mesh 5.3 サービスメッシュのためのABAC認証フレームワークの利点
5.4 Enforcement Alternatives in Proxies 5.4 プロキシにおける強制執行の代替手段
6   Summary and Conclusions 6 まとめと結論
References 参考文献

 

■ 関連文書

・2019.08.07 SP 800-204 Security Strategies for Microservices-based Application Systems

・・[PDF] SP 800-204

・2020.05.27 SP 800-204A Building Secure Microservices-based Applications Using Service-Mesh Architecture

・・[PDF] SP 800-204A

 

|

« IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。 | Main | ENISA 高度な仮名化手法とユースケース Data Pseudonymisation: Advanced Techniques and Use Cases »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。 | Main | ENISA 高度な仮名化手法とユースケース Data Pseudonymisation: Advanced Techniques and Use Cases »