NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
こんにちは、丸山満彦です。
NISTが、NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現を公表し、意見を募集していますね。。。
● NIST - ITL - Publication
今回の発表は、昨年2020.04.28に公表された白書 [PDF] Hardware-Enabled Security for Server Platforms: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Casesに代わるものですね。。。
Abstract | 概要 |
In today’s cloud data centers and edge computing, attack surfaces have significantly increased, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains hardware-enabled security techniques and technologies that can improve platform security and data protection for cloud data centers and edge computing. | 今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、ハッキングが産業化しており、ほとんどのセキュリティ制御の実装は一貫性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、あらゆるレイヤーのセキュリティアプローチにおける最初のレイヤーであり、上位レイヤーのセキュリティ管理が信頼できるものであることを保証するための初期保護を提供します。本レポートでは、クラウド・データセンターやエッジ・コンピューティングのプラットフォーム・セキュリティとデータ保護を向上させるハードウェア対応のセキュリティ技術とテクノロジーについて解説します。 |
・[PDF] NISTIR 8320 (Draft)
1 Introduction | 1 はじめに |
2 Hardware Platform Security Overview | 2 ハードウェア・プラットフォーム・セキュリティの概要 |
3 Platform Integrity Verification | 3 プラットフォームの完全性検証 |
3.1 Hardware Security Module (HSM) | 3.1 ハードウェア・セキュリティ・モジュール (HSM) |
3.2 The Chain of Trust (CoT) | 3.2 信頼の連鎖(CoT) |
3.3 Supply Chain Protection | 3.3 サプライチェーン保護 |
4 Software Runtime Protection Mechanisms | 4 ソフトウェア・ランタイムの保護メカニズム |
4.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming COP/JOP) Attacks | 4.1 ROP(Return Oriented Programming)攻撃とCOP/JOP(Call/Jump Oriented Programming)攻撃 |
4.2 Address Translation Attacks | 4.2 アドレス変換攻撃 |
5 Data Protection and Confidential Computing | 5 データ保護とコンフィデンシャル・コンピューティング |
5.1 Memory Isolation | 5.1 メモリ隔離 |
5.2 Application Isolation | 5.2 アプリケーション隔離 |
5.3 VM Isolation | 5.3 VM隔離 |
5.4 Cryptographic Acceleration | 5.4 暗号化アクセラレーション |
6 Remote Attestation Services | 6 リモート認証サービス |
6.1 Platform Attestation | 6.1 プラットフォーム認証 |
6.2 TEE Attestation | 6.2 TEE認証 |
7 Cloud Use Case Scenarios Leveraging Hardware-Enabled Security | 7 ハードウェアベースのセキュリティを活用したクラウド利用のシナリオ |
7.1 Visibility to Security Infrastructure | 7.1 セキュリティインフラの可視化 |
7.2 Workload Placement on Trusted Platforms | 7.2 信頼できるプラットフォームへのワークロードの配置 |
7.3 Asset Tagging and Trusted Location | 7.3 資産のタグ付けと信頼できる場所への配置 |
7.4 Workload Confidentiality | 7.4 ワークロードの機密性の確保 |
7.5 Protecting Keys and Secrets | 7.5 鍵と秘密の保護 |
8 Next Steps | 8 次のステップ |
References | 参考文献 |
List of Appendices | 巻末資料 |
Appendix A— Vendor-Agnostic Technology Examples | 附属書A- ベンダーに依存しない技術の例 |
A.1 Platform Integrity Verification | A.1 プラットフォームの完全性検証 |
A.1.1 UEFI Secure Boot (SB) | A.1.1 UEFIセキュアブート(SB)について |
Appendix B— Intel Technology Examples | 附属書B- インテルの技術例 |
B.1 Platform Integrity Verification | B.1 プラットフォーム・インテグリティの検証 |
B.1.1 The Chain of Trust (CoT) | B.1.1 信頼の連鎖(CoT)について |
B.1.2 Supply Chain Protection | B.1.2 サプライチェーンの保護 |
B.2 Software Runtime Protection Mechanisms | B.2 ソフトウェア・ランタイムの保護メカニズム |
B.2.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming (COP/JOP) Attacks | B.2.1 Return Oriented Programming (ROP) および Call/Jump Oriented Programming (COP/JOP) による攻撃 |
B.2.2 Address Translation Attacks | B.2.2 アドレス変換攻撃 |
B.3 Data Protection and Confidential Computing | B.3 データ保護とコンフィデンシャル・コンピューティング |
B.3.1 Memory Isolation | B.3.1 メモリ分離 |
B.3.2 Application Isolation | B.3.2 アプリケーションの隔離 |
B.3.3 VM Isolation | B.3.3 VM 分離 |
B.3.4 Cryptographic Acceleration | B.3.4 暗号の高速化 |
B.3.5 Technology Example Summary | B.3.5 技術事例のまとめ |
B.4 Remote Attestation Services | B.4 リモート認証サービス |
B.4.1 Intel Security Libraries for the Data Center (ISecL-DC) | B.4.1 インテル・セキュリティ・ライブラリー・フォー・ザ・データセンター(ISecL-DC) |
B.4.2 Technology Summary | B.4.2 テクノロジー例のまとめ |
Appendix C— AMD Technology Examples | 附属書C- AMDの技術例 |
C.1 Platform Integrity Verification | C.1 プラットフォーム・インテグリティ検証 |
C.1.1 AMD Platform Secure Boot (AMD PSB) | C.1.1 AMDプラットフォーム・セキュアブート(AMD PSB) |
C.2 Data Protection and Confidential Computing | C.2 データ保護とコンフィデンシャル・コンピューティング |
C.2.1 Memory Isolation: AMD Secure Memory Encryption (SME)/Transparent Memory Encryption (TSME) | C.2.1 メモリー隔離:AMDセキュア・メモリー・暗号(SME)/トランスペアレント・メモリー・エンクリプション(TSME) |
C.2.2 VM Isolation: AMD Secure Encrypted Virtualization (SEV) | C.2.2 VM隔離:AMD セキュア暗号 バーチャリぜーション (SEV) |
Appendix D— Acronyms and Abbreviations | 附属書D- 頭字語と略語 |
Appendix E— Glossary | 附属書E- 用語集 |
List of Figures | 図の一覧 |
Figure 1: Notional Example of Remote Attestation Service | 図1:リモート認証サービスの想定例 |
Figure 2: Notional Example of TEE Attestation Flow | 図2:TEE認証フローの概念的な例 |
Figure 3: Notional Example of Orchestrator Platform Labeling | 図3:オーケストレータ・プラットフォームのラベリングの想定例 |
Figure 4: Notional Example of Orchestrator Scheduling | 図4:オーケストレータのスケジューリングの想定例 |
Figure 5: Notional Example of Key Brokerage | 図5:キー・ブローカーの想定例 |
Figure 6: Notional Example of Workload Image Encryption | 図6:ワークロード画像の暗号化の想定例 |
Figure 7: Notional Example of Workload Decryption | 図7:ワークロードの復号化の想定例 |
Figure 8: Firmware and Software Coverage of Existing Chain of Trust Technologies | 図8:既存の信頼の連鎖技術のファームウェアおよびソフトウェアの範囲 |
■ 参考
・2020.04.28 Hardware-Enabled Security for Server Platforms: Draft White Paper Available for Comment
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集
・2020.07.23 トラステッドプラットフォームにおけるポリシーベースのガバナンス by NIST NCCoE
« 会計検査院 「政府情報システムに関する会計検査の結果について」 | Main | 米国 国土安全保障省が重要なパイプラインの所有者と運用者のための新しいサイバーセキュリティ要件を発表してますね。。。 »
Comments