NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ
こんにちは、丸山満彦です。
NISTが、NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプの最終版を公表していますね。。。
● NIST- ITL
・2021.06.17 NISTIR 8320A Hardware-Enabled Security: Container Platform Security Prototype
| NISTIR 8320A Hardware-Enabled Security: Container Platform Security Prototype | NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ |
| Abstract | 概要 |
| In today’s cloud data centers and edge computing, attack surfaces have significantly increased, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a proof-of-concept implementation of the approach—a prototype—that is intended to be a blueprint or template for the general security community. | 今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、サイバー攻撃が産業化しており、ほとんどのセキュリティ制御の実装には一貫性や整合性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行され、アクセスされるプラットフォームを保護することです。物理プラットフォームは、階層化されたセキュリティ手法の最初の層となり、上位層のセキュリティ制御の信頼性を確保するための最初の保護機能を提供します。このレポートでは、マルチテナント型クラウド環境におけるコンテナの展開を保護するための、ハードウェア対応のセキュリティ技術とテクノロジーに基づくアプローチについて説明します。また、このアプローチの概念実証の実装(プロトタイプ)についても説明しており、一般的なセキュリティコミュニティのための青写真またはテンプレートとなることを目的としています。 |
・[PDF] NISTIR 8320A
| 1 Introduction | 1 はじめに |
| 1.1 Purpose and Scope | 1.1 目的と範囲 |
| 1.2 Terminology | 1.2 用語 |
| 1.3 Document Structure | 1.3 ドキュメントの構造 |
| 2 Prototype Implementation | 2 プロトタイプの実装 |
| 2.1 Objective | 2.1 目的 |
| 2.2 Goals | 2.2 目標 |
| 2.2.1 Stage 0: Platform attestation and measured worker node launch | 2.2.1 ステージ 0:プラットフォームの認証と計測されたワーカーノードの起動 |
| 2.2.2 Stage 1: Trusted placement of workloads | 2.2.2 ステージ 1:ワークロードの信頼できる配置 |
| 2.2.3 Stage 2: Asset tagging and trusted location | 2.2.3 ステージ 2:資産のタグ付けと信頼できる場所 |
| 3 Prototyping Stage 0 | 3 プロトタイピング 段階0 |
| 3.1 Solution Overview | 3.1 ソリューションの概要 |
| 3.2 Solution Architecture | 3.2 ソリューション・アーキテクチャ |
| 4 Prototyping Stage 1 | 4 プロトタイピング 段階1 |
| 4.1 Solution Overview | 4.1 ソリューションの概要 |
| 4.2 Solution Architecture | 4.2 ソリューション・アーキテクチャ |
| 5 Prototyping Stage 2 | 5 プロトタイピング 段階2 |
| 5.1 Solution Overview | 5.1 ソリューションの概要 |
| References | 参考文献 |
| Appendix A— Hardware Architecture and Prerequisites | 附属書 A ハードウェアアーキテクチャと前提条件 |
| A.1 High-Level Implementation Architecture | A.1 ハイレベルの実装アーキテクチャ |
| A.2 Intel Trusted Execution Technology (Intel TXT) & Trusted Platform Module (TPM) | A.2 インテル トラステッド実行技術 (Intel TXT) & トラステッド・プラットフォーム・モジュール (TPM) |
| A.3 Attestation | A.3 認証 |
| Appendix B— Platform Implementation: AMI TruE | 附属書 B プラットフォームの実装:AMI TruE |
| B.1 Solution Architecture | B.1 ソリューション・アーキテクチャ |
| B.2 Hardware Description | B.2 ハードウェアの説明 |
| B.3 AMI TruE Installation and Configuration | B.3 AMI TruE のインストールと構成 |
| B.3.1 Installing AMI TruE Trust Manager | B.3.1 AMI TruE Trust Manager のインストール |
| B.3.2 Installing AMI TruE Attestation Server | B.3.2 AMI TruE 認証サーバーのインストール |
| B.3.3 Configuring Firewall for AMI True | B.3.3 AMI True ファイアウォールの設定 |
| B.3.4 Configuring Device Access Keys | B.3.4 デバイスアクセスキーの設定 |
| B.3.5 Configuring Discovery Range and Manageability Range | B.3.5 発見範囲と管理範囲の設定 |
| B.4 Trusted Cloud Cluster Installation and Configuration | B.4 トラステッドクラウドクラスタのインストールと構成 |
| B.4.1 Provisioning TruE Agent Remotely | B.4.1 TruE エージェントのリモート・プロビジョニング |
| B.4.2 Provisioning TruE Agent Manually | B.4.2 TruE エージェントの手動プロビジョニング |
| B.5 Using AMI TruE | B.5 AMI TruEの使用 |
| B.5.1 Monitoring Trust Status using AMI TruE | B.5.1 AMI TruE を使用したトラスト・ステータスの監視 |
| B.5.2 Generating Trust Reports | B.5.2 トラストレポートの生成 |
| B.5.3 Tagging Platforms Using AMI TruE | B.5.3 AMI TruE を使用したプラットフォームのタグ付け |
| B.5.4 Receiving Trust Event Alert Notification | B.5.4 トラストイベントアラート通知の受信 |
| B.5.5 Using AMI TruE for Remediation | B.5.5 リメディエーションのための AMI TruE の使用 |
| Appendix C— Platform Implementation: Kubernetes | 附属書 C- プラットフォームの実装:Kubernetes |
| C.1 Prototype Architecture | C.1 プロトタイプアーキテクチャ |
| C.2 Hardware Description | C.2 ハードウェアの説明 |
| C.3 Kubernetes Installation and Configuration | C.3 Kubernetesのインストールと設定 |
| C.3.1 Kubernetes Controller Node Configuration | C.3.1 Kubernetesコントローラーノードの設定 |
| C.3.2 Kubernetes Worker Configuration | C.3.2 Kubernetes Workerの設定 |
| C.3.3 Kubernetes Orchestration | C.3.3 Kubernetesオーケストレーション |
| Appendix D— Supporting NIST SP 800-53 Security Controls | 附属書 D NIST SP 800-53 セキュリティコントロールのサポート |
| Appendix E— Cybersecurity Framework Subcategory Mappings | 附属書 E サイバースセキュリティフレームワークのサブカテゴリマッピング |
| Appendix F— Acronyms and Other Abbreviations | 附属書 F 頭字語およびその他の略語 |
参考
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集
Comments