NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
こんにちは、丸山満彦です。
昨年の10月にドラフトが公表され、意見募集されていたNISTIR 8320Bが最終化されましたね。。。
● NIST - ITL
・2022.04.20 NISTIR 8320B Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms
| NISTIR 8320B Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms | NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス |
| Abstract | 概要 |
| In today’s cloud data centers and edge computing, attack surfaces have significantly increased, cyber attacks are industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the foundation for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a prototype implementation of the approach intended to be a blueprint or template for the general security community. | 今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、サイバー攻撃が産業化しており、ほとんどのセキュリティ制御の実装には一貫性や整合性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、階層化されたセキュリティアプローチの基礎となるものであり、上位層のセキュリティ管理を信頼できるものにするための初期保護を提供します。本レポートでは、マルチテナント型のクラウド環境におけるコンテナのデプロイメントを保護するための、ハードウェアを利用したセキュリティ技術とテクノロジーに基づくアプローチについて説明しています。また、一般的なセキュリティコミュニティのための青写真またはテンプレートとなることを目的とした、このアプローチのプロトタイプの実装についても説明しています。 |
・[PDF] NISTIR 8320B
目次レベルのドラフトと同じですね。。。
| 1 Introduction | 1 はじめに |
| 1.1 Purpose and Scope | 1.1 目的と範囲 |
| 1.2 Terminology | 1.2 用語集 |
| 1.3 Document Structure | 1.3 ドキュメントの構造 |
| 2 Prototype Implementation | 2 プロトタイプの実装 |
| 2.1 Objective | 2.1 目的 |
| 2.2 Goals | 2.2 目標 |
| 2.2.1 Stage 0: Platform attestation and measured worker node launch | 2.2.1 ステージ0:プラットフォームの証明とワーカーノードの起動測定 |
| 2.2.2 Stage 1: Trusted placement of workloads | 2.2.2 ステージ1:ワークロードの信頼できる配置 |
| 2.2.3 Stage 2: Asset tagging and trusted location | 2.2.3 ステージ2:資産のタグ付けと信頼できるロケーション |
| 2.2.4 Stage 3: Trust-based workload encryption | 2.2.4 ステージ3:信頼に基づくワークロードの暗号化 |
| 2.2.5 Stage 4: Trust-based workload access to information | 2.2.5 ステージ 4:信頼できるワークロードの情報へのアクセス |
| 2.3 Additional Resources | 2.3 追加リソース |
| 3 Prototyping Stage 0 | 3 プロトタイピング・ステージ0 |
| 4 Prototyping Stage 1 | 4 プロトタイピングステージ1 |
| 5 Prototyping Stage 2 | 5 プロトタイピングステージ 2 |
| 6 Prototyping Stage 3 | 6 プロトタイピングステージ3 |
| 6.1 Solution Overview | 6.1 ソリューションの概要 |
| 6.2 Solution Architecture | 6.2 ソリューションのアーキテクチャ |
| 7 Prototyping Stage 4 | 7 プロトタイピングステージ4 |
| 7.1 Solution Overview | 7.1 ソリューションの概要 |
| 7.2 Solution Architecture | 7.2 ソリューション・アーキテクチャー |
| References | 参考文献 |
| Appendix A— Hardware Root of Trust Implementation | 附属書A-ハードウェアRoot of Trustの実装 |
| A.1 High-Level Implementation Architecture | A.1 ハイレベルな実装アーキテクチャ |
| A.2 Hardware Root of Trust: Intel TXT and Trusted Platform Module (TPM) | A.2 信頼のおけるハードウェア。Intel TXTおよびTPM(Trusted Platform Module) |
| A.3 Attestation: Intel Security Libraries (ISecL) | A.3 証明 インテル・セキュリティ・ライブラリー (ISecL) |
| Appendix B— Workload Orchestration Implementation: OpenShift | 附属書B-ワークロードオーケストレーションの実装:OpenShift |
| B.1 Prototype Architecture | B.1 プロトタイプアーキテクチャ |
| B.2 OpenShift Installation and Configuration | B.2 OpenShiftのインストールと構成 |
| B.2.1 VMware-Based Management Cluster (Cluster A) | B.2.1 VMwareベースの管理クラスタ(クラスタA) |
| B.2.2 KVM-Based Managed Cluster (Cluster B) | B.2.2 KVMベースの管理クラスタ(クラスタB) |
| B.2.3 Installing MCM Pak 1.3 (MCM HUB - VMware) | B.2.3 MCM Pak 1.3 (MCM HUB - VMware)のインストール |
| Appendix C— Workload Encryption Implementation | 附属書C-ワークロード暗号化の実装 |
| C.1 Prototype Architecture | C.1 プロトタイプアーキテクチャ |
| C.2 Workload Encryption Configuration | C.2 ワークロードエンクリプションの構成 |
| Appendix D— Trusted Service Identity (TSI) | 附属書D- 信頼されたサービスアイデンティティ (TSI) |
| D.1 TSI Overview | D.1 TSI の概要 |
| D.2 TSI Installation and Configuration | D.2 TSI のインストールと構成 |
| Appendix E— Supporting NIST SP 800-53 Security Controls and Publications | 附属書E-NIST SP 800-53セキュリティコントロールと出版物のサポート |
| Appendix F— Cybersecurity Framework Subcategory Mappings | 附属書F-サイバーセキュリティフレームワークのサブカテゴリーのマッピング |
| Appendix G— Acronyms and Other Abbreviations | 附属書G-頭字語およびその他の略語 |
| List of Tables | 表の一覧 |
| Table 1: VMs Instantiated on the VMware-Based Management Cluster | 表1:VMwareベースの管理クラスタ上にインスタンス化されたVM |
| Table 2: VMs Instantiated on the KVM-Based Managed Cluster | 表2: KVMベースの管理クラスタ上にインスタンス化されたVM |
| Table 3: Security Capabilities Provided by the Prototype | 表3: プロトタイプが提供するセキュリティ機能 |
| Table 4: Mapping of Security Capabilities to NIST SP 800-53 Controls | 表4:NIST SP 800-53コントロールへのセキュリティ機能のマッピング |
| List of Figures | 図の一覧 |
| Figure 1: Concept of Trusted Pools | 図1:トラステッドプールの概念 |
| Figure 2: Stage 1 Solution Overview | 図2:ステージ1のソリューション概要 |
| Figure 3: Stage 3 Solution Architecture | 図3:ステージ3のソリューション・アーキテクチャ |
| Figure 4: Stage 4 Solution Architecture | 図4:ステージ4のソリューション・アーキテクチャ |
| Figure 5: Prototype Implementation Architecture | 図5:プロトタイプの実装アーキテクチャ |
| Figure 6: Remote Attestation Protocol | 図6:リモート証明プロトコル |
| Figure 7: Prototype Architecture | 図7: プロトタイプのアーキテクチャ |
| Figure 8: MCM Console to Import a Cluster | 図8:クラスタをインポートするMCMコンソール |
| Figure 9: Managed Cluster Policies | 図9:マネージドクラスターポリシー |
| Figure 10: Creating Pipeline for Image Decryption | 図10:画像復号のためのパイプラインの作成 |
| Figure 11: Sample JWT Created by TSI | 図11:TSI が作成した JWT のサンプル |
2022.04.21現在の状況...
| NISTIR | 8320 | Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft) |
ハードウェア対応セキュリティ: クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2草案) |
Draft | 2021.10.27 |
| NISTIR | 8320A | Hardware-Enabled Security: Container Platform Security Prototype |
ハードウェア対応セキュリティ: コンテナ・プラットフォーム・セキュリティ・プロトタイプ |
Final | 2021.06.17 |
| NISTIR | 8320B | Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms |
ハードウェア対応セキュリティ: 信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス |
Final | 2022.04.20 |
| NISTIR | 8320C | Hardware-Enabled Security: Machine Identity Management and Protection |
ハードウェア対応セキュリティ: マシン・アイデンティティの管理と保護 |
Draft | 2022.04.20 |
● National Cybersecurity Center of Excellence: NCCoE
・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security
まるちゃんの情報セキュリティ気まぐれ日記
・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド
・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護
・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)
・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド
・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ
・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集
« NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護 | Main | 米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています »
Comments