NISTIR 8320 (Draft) ハードウェア対応セキュリティ：クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

こんにちは、丸山満彦です。

NISTが、NISTIR 8320 (Draft) ハードウェア対応セキュリティ：クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現を公表し、意見を募集していますね。。。

● NIST - ITL - Publication

・2021.05.27 NISTIR 8320 (Draft) Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases

今回の発表は、昨年2020.04.28に公表された白書 [PDF] Hardware-Enabled Security for Server Platforms: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Casesに代わるものですね。。。

Abstract

概要

In today’s cloud data centers and edge computing, attack surfaces have significantly increased, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains hardware-enabled security techniques and technologies that can improve platform security and data protection for cloud data centers and edge computing.

今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、ハッキングが産業化しており、ほとんどのセキュリティ制御の実装は一貫性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、あらゆるレイヤーのセキュリティアプローチにおける最初のレイヤーであり、上位レイヤーのセキュリティ管理が信頼できるものであることを保証するための初期保護を提供します。本レポートでは、クラウド・データセンターやエッジ・コンピューティングのプラットフォーム・セキュリティとデータ保護を向上させるハードウェア対応のセキュリティ技術とテクノロジーについて解説します。

 

・[PDF] NISTIR 8320 (Draft)

1 Introduction	1 はじめに
2 Hardware Platform Security Overview	2 ハードウェア・プラットフォーム・セキュリティの概要
3 Platform Integrity Verification	3 プラットフォームの完全性検証
3.1 Hardware Security Module (HSM)	3.1 ハードウェア・セキュリティ・モジュール (HSM)
3.2 The Chain of Trust (CoT)	3.2 信頼の連鎖(CoT)
3.3 Supply Chain Protection	3.3 サプライチェーン保護
4 Software Runtime Protection Mechanisms	4 ソフトウェア・ランタイムの保護メカニズム
4.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming COP/JOP) Attacks	4.1 ROP(Return Oriented Programming)攻撃とCOP/JOP(Call/Jump Oriented Programming)攻撃
4.2 Address Translation Attacks	4.2 アドレス変換攻撃
5 Data Protection and Confidential Computing	5 データ保護とコンフィデンシャル・コンピューティング
5.1 Memory Isolation	5.1 メモリ隔離
5.2 Application Isolation	5.2 アプリケーション隔離
5.3 VM Isolation	5.3 VM隔離
5.4 Cryptographic Acceleration	5.4 暗号化アクセラレーション
6 Remote Attestation Services	6 リモート認証サービス
6.1 Platform Attestation	6.1 プラットフォーム認証
6.2 TEE Attestation	6.2 TEE認証
7 Cloud Use Case Scenarios Leveraging Hardware-Enabled Security	7 ハードウェアベースのセキュリティを活用したクラウド利用のシナリオ
7.1 Visibility to Security Infrastructure	7.1 セキュリティインフラの可視化
7.2 Workload Placement on Trusted Platforms	7.2 信頼できるプラットフォームへのワークロードの配置
7.3 Asset Tagging and Trusted Location	7.3 資産のタグ付けと信頼できる場所への配置
7.4 Workload Confidentiality	7.4 ワークロードの機密性の確保
7.5 Protecting Keys and Secrets	7.5 鍵と秘密の保護
8 Next Steps	8 次のステップ
References	参考文献
List of Appendices	巻末資料
Appendix A— Vendor-Agnostic Technology Examples	附属書A- ベンダーに依存しない技術の例
A.1 Platform Integrity Verification	A.1 プラットフォームの完全性検証
A.1.1 UEFI Secure Boot (SB)	A.1.1 UEFIセキュアブート（SB）について
Appendix B— Intel Technology Examples	附属書B- インテルの技術例
B.1 Platform Integrity Verification	B.1 プラットフォーム・インテグリティの検証
B.1.1 The Chain of Trust (CoT)	B.1.1 信頼の連鎖(CoT)について
B.1.2 Supply Chain Protection	B.1.2 サプライチェーンの保護
B.2 Software Runtime Protection Mechanisms	B.2 ソフトウェア・ランタイムの保護メカニズム
B.2.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming (COP/JOP) Attacks	B.2.1 Return Oriented Programming (ROP) および Call/Jump Oriented Programming (COP/JOP) による攻撃
B.2.2 Address Translation Attacks	B.2.2 アドレス変換攻撃
B.3 Data Protection and Confidential Computing	B.3 データ保護とコンフィデンシャル・コンピューティング
B.3.1 Memory Isolation	B.3.1 メモリ分離
B.3.2 Application Isolation	B.3.2 アプリケーションの隔離
B.3.3 VM Isolation	B.3.3 VM 分離
B.3.4 Cryptographic Acceleration	B.3.4 暗号の高速化
B.3.5 Technology Example Summary	B.3.5 技術事例のまとめ
B.4 Remote Attestation Services	B.4 リモート認証サービス
B.4.1 Intel Security Libraries for the Data Center (ISecL-DC)	B.4.1 インテル・セキュリティ・ライブラリー・フォー・ザ・データセンター（ISecL-DC)
B.4.2 Technology Summary	B.4.2 テクノロジー例のまとめ
Appendix C— AMD Technology Examples	附属書C- AMDの技術例
C.1 Platform Integrity Verification	C.1 プラットフォーム・インテグリティ検証
C.1.1 AMD Platform Secure Boot (AMD PSB)	C.1.1 AMDプラットフォーム・セキュアブート(AMD PSB)
C.2 Data Protection and Confidential Computing	C.2 データ保護とコンフィデンシャル・コンピューティング
C.2.1 Memory Isolation: AMD Secure Memory Encryption (SME)/Transparent Memory Encryption (TSME)	C.2.1 メモリー隔離：AMDセキュア・メモリー・暗号（SME）／トランスペアレント・メモリー・エンクリプション(TSME)
C.2.2 VM Isolation: AMD Secure Encrypted Virtualization (SEV)	C.2.2 VM隔離：AMD セキュア暗号 バーチャリぜーション (SEV)
Appendix D— Acronyms and Abbreviations	附属書D- 頭字語と略語
Appendix E— Glossary	附属書E- 用語集
List of Figures	図の一覧
Figure 1: Notional Example of Remote Attestation Service	図1：リモート認証サービスの想定例
Figure 2: Notional Example of TEE Attestation Flow	図2：TEE認証フローの概念的な例
Figure 3: Notional Example of Orchestrator Platform Labeling	図3：オーケストレータ・プラットフォームのラベリングの想定例
Figure 4: Notional Example of Orchestrator Scheduling	図4：オーケストレータのスケジューリングの想定例
Figure 5: Notional Example of Key Brokerage	図5：キー・ブローカーの想定例
Figure 6: Notional Example of Workload Image Encryption	図6：ワークロード画像の暗号化の想定例
Figure 7: Notional Example of Workload Decryption	図7：ワークロードの復号化の想定例
Figure 8: Firmware and Software Coverage of Existing Chain of Trust Technologies	図8：既存の信頼の連鎖技術のファームウェアおよびソフトウェアの範囲

 

 

---

■ 参考

・2020.04.28 Hardware-Enabled Security for Server Platforms: Draft White Paper Available for Comment

・2020.04.28 Hardware-Enabled Security for Server Platforms: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.13 NISTIR 8320A　マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

・2020.07.23 トラステッドプラットフォームにおけるポリシーベースのガバナンス by NIST NCCoE