« 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案 | Main | NATO CCDCOE サイバー攻撃と第5条 - NATOの曖昧だが一貫した立場についてのメモ »

2022.03.12

NIST SP 800-204C サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

こんにちは、丸山満彦です。

昨年の9月末にパブリックコメントに付されていた、NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施が、確定していますね。。。

● NIST - ITL

・2022.03.08 SP 800-204C Implementation of DevSecOps for a Microservices-based Application with Service Mesh

 

Abstract 概要
Cloud-native applications have evolved into a standardized architecture consisting of multiple loosely coupled components called microservices (often typically implemented as containers) that are supported by an infrastructure for providing application services, such as service mesh. Both of these components are usually hosted on a container orchestration and resource management platform. In this architecture, the entire set of source code involved in the application environment can be divided into five code types: 1) application code (which embodies the application logic), 2) application services code (for services such as session establishment, network connection, etc.), 3) infrastructure as code (for provisioning and configuring computing, networking, and storage resources), 4) policy as code (for defining runtime policies such as zero trust expressed as a declarative code), 5) and observability as code (for the continuous monitoring of an application runtime state). Due to security, business competitiveness, and the inherent structure of loosely coupled application components, this class of applications needs a different development, deployment, and runtime paradigm. DevSecOps (consisting of acronyms for Development, Security, and Operations, respectively) has been found to be a facilitating paradigm for these applications with primitives such as continuous integration, continuous delivery, and continuous deployment (CI/CD) pipelines. These pipelines are workflows for taking the developer’s source code through various stages, such as building, testing, packaging, deployment, and operations supported by automated tools with feedback mechanisms. The objective of this document is to provide guidance for the implementation of DevSecOps primitives for cloud-native applications with the architecture and code types described above. The benefits of this approach for high security assurance and for enabling continuous authority to operate (C-ATO) are also discussed. クラウドネイティブアプリケーションは、マイクロサービスと呼ばれる複数の疎結合コンポーネント(一般的にはコンテナとして実装されることが多い)からなる標準的なアーキテクチャに進化し、サービスメッシュのようなアプリケーションサービスを提供するためのインフラによってサポートされるようになりました。これらのコンポーネントはいずれも、通常、コンテナオーケストレーションおよびリソース管理プラットフォーム上でホストされています。このアーキテクチャでは、アプリケーション環境に関わるソースコード一式は、5つのコードタイプに分けることができる。1)アプリケーションコード(アプリケーションロジックを具現化)、2)アプリケーションサービスコード(セッションの確立、ネットワーク接続などのサービス)、3)コードとしてのインフラストラクチャ(コンピューティング、ネットワーク、ストレージリソースのプロビジョニングと設定)、4)コードとしてのポリシー(宣言型コードとして表現されたゼロトラストなどのランタイムポリシーの定義)、5)コードとしての観測性(アプリケーションランタイム状態の連続監視用)です。セキュリティ、ビジネス競争力、疎結合のアプリケーションコンポーネントの固有の構造のために、このクラスのアプリケーションは、異なる開発、展開、ランタイムパラダイムを必要としています。DevSecOps(開発、セキュリティ、運用の頭文字をとったもの)は、継続的インテグレーション、継続的デリバリー、継続的デプロイメント(CI/CD)パイプラインなどのプリミティブで、これらのアプリケーションを容易にするパラダイムであることが分かっています。これらのパイプラインは、開発者のソースコードを、ビルド、テスト、パッケージング、デプロイ、運用などの様々な段階を経て、フィードバック機構を備えた自動化ツールでサポートするワークフローである。このドキュメントの目的は、上記のアーキテクチャとコードタイプを持つクラウドネイティブアプリケーションのためのDevSecOpsプリミティブの実装のためのガイダンスを提供することです。また、高いセキュリティ保証と継続的な操作権限(C-ATO)を可能にするためのこのアプローチの利点についても説明します。

 

・[PDF] SP 800-204C

20220311-180148

 

 

関連文書

SP 800-204 Security Strategies for Microservices-based Application Systems

SP 800-204A Secuilding Secure Microservices-based Applications Using Service-Mesh Architecture 

SP 800-204B Attribute-based Access Control for Microservices-based Applications using a Service Mesh

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.01 NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

・2021.08.07 NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2021.01.29 NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

|

« 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案 | Main | NATO CCDCOE サイバー攻撃と第5条 - NATOの曖昧だが一貫した立場についてのメモ »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案 | Main | NATO CCDCOE サイバー攻撃と第5条 - NATOの曖昧だが一貫した立場についてのメモ »