NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

こんにちは、丸山満彦です。

NISTが「SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御」を公表していますね。。。

SP 800-204B Attribute-based Access Control for Microservices-based Applications using a Service Mesh	SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御
Abstract	概要
Deployment architecture in cloud-native applications now consists of loosely coupled components, called microservices, with all application services provided through a dedicated infrastructure, called a service mesh, independent of the application code. Two critical security requirements in this architecture are to build (1) the concept of zero trust by enabling mutual authentication in communication between any pair of services and (2) a robust access control mechanism based on an access control such as attribute-based access control (ABAC) that can be used to express a wide set of policies and is scalable in terms of user base, objects (resources), and deployment environment. This document provides deployment guidance for building an authentication and authorization framework within the service mesh that meets these requirements. A reference platform for hosting the microservices-based application and a reference platform for the service mesh are included to illustrate the concepts in the recommendations and provide the context in terms of the components used in real-world deployments.	クラウドネイティブ・アプリケーションの実装アーキテクチャは、マイクロサービスと呼ばれる疎結合のコンポーネントで構成され、すべてのアプリケーションサービスは、アプリケーションコードとは独立したサービスメッシュと呼ばれる専用のインフラストラクチャを通じて提供されます。このアーキテクチャにおいて重要なセキュリティ要件は、(1)任意のペアのサービス間の通信において相互認証を可能にすることでゼロトラストの概念を構築することと、(2)属性ベースのアクセスコントロール（ABAC）などのアクセスコントロールをベースに、幅広いポリシーを表現でき、ユーザベース、オブジェクト（リソース）、デプロイメント環境の観点から拡張可能な堅牢なアクセスコントロールメカニズムを構築することの2つです。本ドキュメントでは、これらの要件を満たす認証・認可フレームワークをサービスメッシュ内に構築するための導入ガイダンスを提供します。マイクロサービスベースのアプリケーションをホストするためのリファレンスプラットフォームと、サービスメッシュのリファレンスプラットフォームが含まれており、推奨事項のコンセプトを説明するとともに、実際の実装で使用されているコンポーネントの観点からコンテキストを提供しています。

 

・[PDF] SP 800-204B

■ 関連文書

・2019.08.07 SP 800-204 Security Strategies for Microservices-based Application Systems

・・[PDF] SP 800-204

・2020.05.27 SP 800-204A Building Secure Microservices-based Applications Using Service-Mesh Architecture

・・[PDF] SP 800-204A

 

---

 

Executive Summary	エグゼクティブサマリー
Two significant features of the application environment in emerging cloud-native applications are:	新たなクラウドネイティブ・アプリケーションにおけるアプリケーション環境には次の2つの特徴がある。
1. Microservices: Applications have multiple, loosely coupled components called microservices that communicate with each other across the network.	1. マイクロサービス：アプリケーションは、マイクロサービスと呼ばれる複数の疎結合のコンポーネントを持ち、ネットワークを介して相互に通信する。
2. Service Mesh: A dedicated infrastructure called the service mesh provides services for the application (e.g., authentication, authorization, routing, network resilience, security monitoring), which can be deployed independently of the application code.	2. サービスメッシュ：サービスメッシュと呼ばれる専用のインフラストラクチャが、アプリケーションのためのサービス（認証、認可、ルーティング、ネットワーク回復力、セキュリティ監視など）を提供し、アプリケーションコードとは独立して展開することができる。
With the disappearance of a network perimeter because of the need to provide ubiquitous access to applications from multiple remote locations using different types of devices, it is necessary to build the concept of zero trust into the application environment. Furthermore, the cloud-native applications span different domains and, therefore, require increased precision in specifying policy by considering a large set of variables (e.g., service, namespace). The service mesh provides a framework for building these and other operational assurances.	離れた複数の場所から異なるデバイスを使ってアプリケーションにユビキタスアクセスを提供する必要性から、ネットワークの境界線がなくなってきており、アプリケーション環境にゼロトラストの概念を組み込む必要がある。さらに、クラウドネイティブ・アプリケーションは異なるドメインにまたがっているため、大量の変数（サービス、名前空間など）を考慮してポリシーを指定する精度を高める必要がある。サービスメッシュは、これらの保証やその他の運用保証を構築するためのフレームワークを提供する。
The framework includes:	このフレームワークには以下が含まれる。
• An authenticatable runtime identity for services, authenticable credentials for individual users of the service, and encryption of communication between services.	•   サービスのための認証可能なランタイム・アイデンティティ、アプリケーション（ユーザー）の資格情報を認証する機能、トランジット中およびサービス間の通信の暗号化
• A Policy Enforcement Point (PEP) that is separately deployable and controllable from the application. The role of Policy Decision Point (PDP) can be filled by the service mesh’s sidecar proxies or an external service.	•  アプリケーションとは別に配置・制御可能なポリシー実施ポイント（PEP）。PDP（Policy Decision Point）の役割は、サービスメッシュのサイドカープロキシや外部サービスが担うことができる。
• Logs and metrics for monitoring policy enforcement.	•   ポリシーの適用状況を監視するためのログとメトリクス。
The service mesh’s native feature to authenticate end-user credentials attached to the request (e.g., using a Java Web Token [JWT]) is augmented in many offerings to provide the ability to call external authentication and authorization systems on behalf of the application. The capability to deploy these authentication and authorization systems as services in the mesh also provides operational assurances for encryption in transit, identity, a PEP, authentication, and authorization for end-user identity.	リクエストに添付されたエンドユーザーの資格情報を認証するサービスメッシュのネイティブ機能(例: Java Web Token [JWT]を使用)は、アプリケーションに代わって外部の認証・認可システムを呼び出す機能を提供するために、多くの提供物で拡張されている。これらの認証および認可システムをメッシュ内のサービスとして展開する機能は、トランジットの暗号化、ID、PEP、認証、およびエンドユーザー ID の認可のための運用上の保証も提供する。
The objective of this document is to provide deployment guidance for an authentication and authorization framework within a service mesh for microservices-based applications that leverages the features listed above. A reference platform for hosting the microservices-based application and the service mesh is included to illustrate the concepts in the recommendations and provide context in terms of the components used in real-world deployments.	本文書の目的は、上記の機能を活用したマイクロサービスベースのアプリケーションのためのサービスメッシュ内の認証・認可フレームワークの展開ガイダンスを提供することである。マイクロサービスベースのアプリケーションとサービスメッシュをホストするためのリファレンスプラットフォームが含まれており、推奨事項のコンセプトを説明し、実際の展開で使用されるコンポーネントのコンテキストを提供する。

 

Executive Summary	エグゼクティブ・サマリー
1 Introduction	1 はじめに
1.1 Service Mesh Capabilities	1.1 サービス・メッシュの機能
1.2 Candidate Applications	1.2 候補となるアプリケーション
1.3 Scope and Approach	1.3 対象範囲とアプローチ
1.4 Target Audience	1.4 想定読者
1.5 Relationship to Other NIST Guidance Documents	1.5 他のNISTガイダンス文書との関係
1.6 Organization of This Document	1.6 本文書の構成
2 Reference Platform for Microservices-based Application and Service Mesh	2 マイクロサービスベースアプリケーションおよびサービスメッシュのためのリファレンスプラットフォーム
2.1 Reference Platform for Orchestration and Resource Management of a Microservices-based Application	2.1 マイクロサービスベースアプリケーションのオーケストレーションとリソース管理のためのリファレンスプラットフォーム
2.1.1 Limitations of Reference Orchestration and Resource Management Platform for Security	2.1.1 セキュリティのためのオーケストレーションとリソース管理のリファレンスプラットフォームの制限事項
2.2 Service Mesh Reference Platform – Conceptual Architecture	2.2 サービスメッシュリファレンスプラットフォームのコンセプトアーキテクチャ
2.2.1 Service Mesh Functions for Reference Orchestration and Resource Management Platform	2.2.1 参照オーケストレーションリソース管理プラットフォームのサービスメッシュ機能
3 Attribute-based Access Control (ABAC) – Background	3 属性ベースのアクセス制御（ABAC） - 背景
3.1 ABAC Deployment for Microservices-based Applications Using Service Mesh	3.1 サービスメッシュによるマイクロサービスベースのアプリケーションへのABAC導入
4 Authentication and Authorization Policy Configuration in Service Mesh	4 サービスメッシュにおける認証・認可ポリシーの設定
4.1 Application Orchestration and Resource Management Platform Configuration	4.1 アプリケーションオーケストレーションとリソース管理プラットフォームの設定
4.2 Service Mesh Configuration	4.2 サービスメッシュの構成
4.3 Higher-level Security Configuration Parameters for Applications	4.3 アプリケーションの高レベルのセキュリティ設定パラメータ
4.4 Authentication Policies	4.4 認証ポリシー
4.4.1 Specifying Authentication Policies	4.4.1 認証ポリシーの指定
4.4.2 Service-level Authentication	4.4.2 サービスレベルの認証
4.4.3 End User Authentication	4.4.3 エンドユーザーの認証
4.5 Authorization Policies	4.5 認可ポリシー
4.5.1 Service-level Authorization Policies	4.5.1 サービスレベルの認可ポリシー
4.5.2 End-user Level Authorization Policies	4.5.2 エンドユーザレベルの認可ポリシー
4.5.3 Model-based Authorization Policies	4.5.3 モデルベースの認可ポリシー
4.6 Authorization Policy Elements	4.6 認可ポリシーの要素
4.6.1 Policy Types	4.6.1 ポリシーの種類
4.6.2 Policy Target or Authorization Scope	4.6.2 ポリシーの対象または認可範囲
4.6.3 Policy Sources	4.6.3 ポリシーのソース
4.6.4 Policy Operations	4.6.4 ポリシーの運用
4.6.5 Policy Conditions	4.6.5 ポリシーの条件
4.6.6 Default Authorization Policy	4.6.6 デフォルト認可ポリシー
5 ABAC Deployment for Service Mesh	5 サービスメッシュへのABAC導入
5.1 Reference Monitor Concept in Authorization Framework	5.1 認可フレームワークにおけるリファレンス・モニターの概念
5.2 Supporting Infrastructure for ABAC Authorization Framework	5.2 ABAC認可フレームワークを支えるインフラ
5.2.1 Service-to-Service Request (SVC-SVC) – Supporting Infrastructure	5.2.1 サービス間リクエスト（SVC-SVC） - サポートインフラ
5.2.2 End User + Service-to-Service Request (EU+SVC-SVC) – Supporting Infrastructure	5.2.2 エンドユーザ＋サービス間リクエスト（EU＋SVC-SVC） - 支持基盤
5.3 Advantages of ABAC Authorization Framework for Service Mesh	5.3 サービスメッシュにおけるABAC認証フレームワークの利点
5.4 Enforcement Alternatives in Proxies	5.4 プロキシにおけるエンフォースメントの代替手段
6 Summary and Conclusions	6 まとめと結論
References	参考文献
Appendix A: List of Recommendations for deployment of an ABAC-based authentication and authorization framework for microservices-based applications using a service mesh	附属書A：サービスメッシュを利用したマイクロサービスベースのアプリケーションのためのABACベースの認証・認可フレームワークの展開に関する推奨事項のリスト

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.29 NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ