« NIST SP 1800-19 (Draft) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド | Main | NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト) »

2021.10.29

NISTIR 8320B (Draft) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

こんにちは、丸山満彦です。

NISTが「NISTIR 8320B (Draft) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス」を公表し、意見募集をしていますね。。。

NIST

・2021.10.27 NISTIR 8320B (Draft) Hardware-Enabled Security: Policy Based Governance in Trusted Container Platforms

 

NISTIR 8320B (Draft) Hardware-Enabled Security: Policy Based Governance in Trusted Container Platforms NISTIR 8320B (Draft) Hardware-Enabled Security(ハードウェアで実現するセキュリティ)。トラステッドコンテナプラットフォームにおけるポリシーベースのガバナンス
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released three new draft reports on hardware-enabled security and trusted cloud for public comment. The foundation of any cloud data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform provides the initial protections to help ensure that higher-layer security controls can be trusted. National Cybersecurity Center of Excellence(NCCoE)は、ハードウェアで実現するセキュリティとトラステッドクラウドに関する3つの新しいドラフトレポートを公開し、パブリックコメントを求めています。クラウドデータセンターやエッジコンピューティングのセキュリティ戦略の基盤となるのは、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティです。物理的なプラットフォームは、上位層のセキュリティ管理が信頼できるものであることを保証するための初期保護を提供します。
The three new draft reports are: 新しいドラフトレポートは以下の3つです。
2nd Draft NIST Internal Report (IR) 8320, Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases, examines hardware-enabled security techniques and technologies that can improve platform security and data protection for cloud data centers and edge computing. 2nd Draft NIST Internal Report (IR) 8320, Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases」は、クラウドデータセンターやエッジコンピューティングのプラットフォームセキュリティやデータ保護を向上させることができるハードウェア対応のセキュリティ技術やテクノロジーについて検討しています。
Draft NIST IR 8320B, Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms, explains an approach for safeguarding container deployments in multi-tenant cloud environments, as well as a prototype implementation of the approach. NIST IR 8320B(ドラフト)「Hardware-Enabled Security: Trusted Container PlatformsにおけるPolicy-Based Governance」では、マルチテナントのクラウド環境におけるコンテナ展開を保護するためのアプローチと、そのプロトタイプの実装について説明しています。
Draft NIST Special Publication (SP) 1800-19, Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments, describes an example solution for using trusted compute pools leveraging hardware roots of trust to monitor, track, apply, and enforce security and privacy policies on cloud workloads. ドラフトNIST Special Publication (SP) 1800-19「Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments」では、信頼できる計算プールを使用して、ハードウェアのルートオブトラストを活用し、クラウドのワークロードに対してセキュリティとプライバシーのポリシーを監視、追跡、適用、実施するソリューションの例を紹介しています。
Abstract 概要
In today’s cloud data centers and edge computing, attack surfaces have significantly increased, cyber attacks are industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the foundation for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a prototype implementation of the approach intended to be a blueprint or template for the general security community. 今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、サイバー攻撃が産業化しており、ほとんどのセキュリティ制御の実装には一貫性や整合性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、階層化されたセキュリティアプローチの基礎となるものであり、上位層のセキュリティ管理を信頼できるものにするための初期保護を提供します。本レポートでは、マルチテナント型のクラウド環境におけるコンテナのデプロイメントを保護するための、ハードウェアを利用したセキュリティ技術とテクノロジーに基づくアプローチについて説明しています。また、一般的なセキュリティコミュニティのための青写真またはテンプレートとなることを目的とした、このアプローチのプロトタイプの実装についても説明しています。

 

・[PDF] NISTIR 8320B (Draft)

20211029-143829

 

1 Introduction  1 はじめに 
1.1 Purpose and Scope  1.1 目的と範囲 
1.2 Terminology  1.2 用語集 
1.3 Document Structure 1.3 ドキュメントの構造
2 Prototype Implementation 2 プロトタイプの実装
2.1 Objective 2.1 目的
2.2 Goals  2.2 目標 
2.2.1 Stage 0: Platform attestation and measured worker node launch  2.2.1 ステージ0:プラットフォームの認証とワーカーノードの起動測定 
2.2.2 Stage 1: Trusted placement of workloads  2.2.2 ステージ1:ワークロードの信頼できる配置 
2.2.3 Stage 2: Asset tagging and trusted location  2.2.3 ステージ2:資産のタグ付けと信頼できるロケーション 
2.2.4 Stage 3: Trust-based workload encryption  2.2.4 ステージ3:信頼に基づくワークロードの暗号化 
2.2.5 Stage 4: Trust-based workload access to information 2.2.5 ステージ 4:信頼できるワークロードの情報へのアクセス
2.3 Additional Resources 2.3 追加リソース
3 Prototyping Stage 0  3 プロトタイピング・ステージ0 
4 Prototyping Stage 1  4 プロトタイピングステージ1 
5 Prototyping Stage 2  5 プロトタイピングステージ 2 
6 Prototyping Stage 3  6 プロトタイピングステージ3 
6.1 Solution Overview 6.1 ソリューションの概要
6.2 Solution Architecture 6.2 ソリューションのアーキテクチャ
7 Prototyping Stage 4  7 プロトタイピングステージ4 
7.1 Solution Overview 7.1 ソリューションの概要
7.2 Solution Architecture 7.2 ソリューション・アーキテクチャー
References 参考文献
Appendix A— Hardware Root of Trust Implementation 附属書A-ハードウェアRoot of Trustの実装
A.1 High-Level Implementation Architecture  A.1 ハイレベルな実装アーキテクチャ 
A.2 Hardware Root of Trust: Intel TXT and Trusted Platform Module (TPM)  A.2 信頼のおけるハードウェア。Intel TXTおよびTPM(Trusted Platform Module)
A.3 Attestation: Intel Security Libraries (ISecL) A.3 認証 インテル・セキュリティ・ライブラリー (ISecL)
Appendix B— Workload Orchestration Implementation: OpenShift  附属書B-ワークロードオーケストレーションの実装:OpenShift 
B.1 Prototype Architecture  B.1 プロトタイプアーキテクチャ 
B.2 OpenShift Installation and Configuration B.2 OpenShiftのインストールと構成
B.2.1 VMware-Based Management Cluster (Cluster A) B.2.1 VMwareベースの管理クラスタ(クラスタA)
B.2.2 KVM-Based Managed Cluster (Cluster B) B.2.2 KVMベースの管理クラスタ(クラスタB)
B.2.3 Installing MCM Pak 1.3 (MCM HUB - VMware) B.2.3 MCM Pak 1.3 (MCM HUB - VMware)のインストール
Appendix C— Workload Encryption Implementation  附属書C-ワークロード暗号化の実装 
C.1 Prototype Architecture  C.1 プロトタイプアーキテクチャ 
C.2 Workload Encryption Configuration C.2 ワークロードエンクリプションの構成
Appendix D— Trusted Service Identity (TSI)  附属書D- 信頼されたサービスアイデンティティ (TSI)
D.1 TSI Overview  D.1 TSI の概要 
D.2 TSI Installation and Configuration D.2 TSI のインストールと構成
Appendix E— Supporting NIST SP 800-53 Security Controls and Publications 附属書E-NIST SP 800-53セキュリティコントロールと出版物のサポート
Appendix F— Cybersecurity Framework Subcategory Mappings 附属書F-サイバーセキュリティフレームワークのサブカテゴリーのマッピング
Appendix G— Acronyms and Other Abbreviations  附属書G-頭字語およびその他の略語 
List of Tables 表の一覧
Table 1: VMs Instantiated on the VMware-Based Management Cluster  表1:VMwareベースの管理クラスタ上にインスタンス化されたVM 
Table 2: VMs Instantiated on the KVM-Based Managed Cluster  表2: KVMベースの管理クラスタ上にインスタンス化されたVM 
Table 3: Security Capabilities Provided by the Prototype 表3: プロトタイプが提供するセキュリティ機能
Table 4: Mapping of Security Capabilities to NIST SP 800-53 Controls 表4:NIST SP 800-53コントロールへのセキュリティ機能のマッピング
List of Figures 図の一覧
Figure 1: Concept of Trusted Pools 図1:トラステッドプールの概念
Figure 2: Stage 1 Solution Overview 図2:ステージ1のソリューション概要
Figure 3: Stage 3 Solution Architecture 図3:ステージ3のソリューション・アーキテクチャ
Figure 4: Stage 4 Solution Architecture 図4:ステージ4のソリューション・アーキテクチャ
Figure 5: Prototype Implementation Architecture  図5:プロトタイプの実装アーキテクチャ 
Figure 6: Remote Attestation Protocol 図6:リモート認証プロトコル
Figure 7: Prototype Architecture 図7: プロトタイプのアーキテクチャ
Figure 8: MCM Console to Import a Cluster 図8:クラスタをインポートするMCMコンソール
Figure 9: Managed Cluster Policies 図9:マネージドクラスターポリシー
Figure 10: Creating Pipeline for Image Decryption 図10:画像復号のためのパイプラインの作成
Figure 11: Sample JWT Created by TSI 図11:TSI が作成した JWT のサンプル

 

 

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

|

« NIST SP 1800-19 (Draft) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド | Main | NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 1800-19 (Draft) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド | Main | NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト) »