« NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護 | Main | 米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています »

2022.04.21

NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

こんにちは、丸山満彦です。

昨年の10月にドラフトが公表され、意見募集されていたNISTIR 8320Bが最終化されましたね。。。

NIST - ITL

・2022.04.20 NISTIR 8320B Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms

NISTIR 8320B Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Abstract 概要
In today’s cloud data centers and edge computing, attack surfaces have significantly increased, cyber attacks are industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the foundation for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a prototype implementation of the approach intended to be a blueprint or template for the general security community. 今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、サイバー攻撃が産業化しており、ほとんどのセキュリティ制御の実装には一貫性や整合性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、階層化されたセキュリティアプローチの基礎となるものであり、上位層のセキュリティ管理を信頼できるものにするための初期保護を提供します。本レポートでは、マルチテナント型のクラウド環境におけるコンテナのデプロイメントを保護するための、ハードウェアを利用したセキュリティ技術とテクノロジーに基づくアプローチについて説明しています。また、一般的なセキュリティコミュニティのための青写真またはテンプレートとなることを目的とした、このアプローチのプロトタイプの実装についても説明しています。

 

・[PDF] NISTIR 8320B

20220421-102232

 

目次レベルのドラフトと同じですね。。。

 

1 Introduction  1 はじめに 
1.1 Purpose and Scope  1.1 目的と範囲 
1.2 Terminology  1.2 用語集 
1.3 Document Structure 1.3 ドキュメントの構造
2 Prototype Implementation 2 プロトタイプの実装
2.1 Objective 2.1 目的
2.2 Goals  2.2 目標 
2.2.1 Stage 0: Platform attestation and measured worker node launch  2.2.1 ステージ0:プラットフォームの証明とワーカーノードの起動測定 
2.2.2 Stage 1: Trusted placement of workloads  2.2.2 ステージ1:ワークロードの信頼できる配置 
2.2.3 Stage 2: Asset tagging and trusted location  2.2.3 ステージ2:資産のタグ付けと信頼できるロケーション 
2.2.4 Stage 3: Trust-based workload encryption  2.2.4 ステージ3:信頼に基づくワークロードの暗号化 
2.2.5 Stage 4: Trust-based workload access to information 2.2.5 ステージ 4:信頼できるワークロードの情報へのアクセス
2.3 Additional Resources 2.3 追加リソース
3 Prototyping Stage 0  3 プロトタイピング・ステージ0 
4 Prototyping Stage 1  4 プロトタイピングステージ1 
5 Prototyping Stage 2  5 プロトタイピングステージ 2 
6 Prototyping Stage 3  6 プロトタイピングステージ3 
6.1 Solution Overview 6.1 ソリューションの概要
6.2 Solution Architecture 6.2 ソリューションのアーキテクチャ
7 Prototyping Stage 4  7 プロトタイピングステージ4 
7.1 Solution Overview 7.1 ソリューションの概要
7.2 Solution Architecture 7.2 ソリューション・アーキテクチャー
References 参考文献
Appendix A— Hardware Root of Trust Implementation 附属書A-ハードウェアRoot of Trustの実装
A.1 High-Level Implementation Architecture  A.1 ハイレベルな実装アーキテクチャ 
A.2 Hardware Root of Trust: Intel TXT and Trusted Platform Module (TPM)  A.2 信頼のおけるハードウェア。Intel TXTおよびTPM(Trusted Platform Module)
A.3 Attestation: Intel Security Libraries (ISecL) A.3 証明 インテル・セキュリティ・ライブラリー (ISecL)
Appendix B— Workload Orchestration Implementation: OpenShift  附属書B-ワークロードオーケストレーションの実装:OpenShift 
B.1 Prototype Architecture  B.1 プロトタイプアーキテクチャ 
B.2 OpenShift Installation and Configuration B.2 OpenShiftのインストールと構成
B.2.1 VMware-Based Management Cluster (Cluster A) B.2.1 VMwareベースの管理クラスタ(クラスタA)
B.2.2 KVM-Based Managed Cluster (Cluster B) B.2.2 KVMベースの管理クラスタ(クラスタB)
B.2.3 Installing MCM Pak 1.3 (MCM HUB - VMware) B.2.3 MCM Pak 1.3 (MCM HUB - VMware)のインストール
Appendix C— Workload Encryption Implementation  附属書C-ワークロード暗号化の実装 
C.1 Prototype Architecture  C.1 プロトタイプアーキテクチャ 
C.2 Workload Encryption Configuration C.2 ワークロードエンクリプションの構成
Appendix D— Trusted Service Identity (TSI)  附属書D- 信頼されたサービスアイデンティティ (TSI)
D.1 TSI Overview  D.1 TSI の概要 
D.2 TSI Installation and Configuration D.2 TSI のインストールと構成
Appendix E— Supporting NIST SP 800-53 Security Controls and Publications 附属書E-NIST SP 800-53セキュリティコントロールと出版物のサポート
Appendix F— Cybersecurity Framework Subcategory Mappings 附属書F-サイバーセキュリティフレームワークのサブカテゴリーのマッピング
Appendix G— Acronyms and Other Abbreviations  附属書G-頭字語およびその他の略語 
List of Tables 表の一覧
Table 1: VMs Instantiated on the VMware-Based Management Cluster  表1:VMwareベースの管理クラスタ上にインスタンス化されたVM 
Table 2: VMs Instantiated on the KVM-Based Managed Cluster  表2: KVMベースの管理クラスタ上にインスタンス化されたVM 
Table 3: Security Capabilities Provided by the Prototype 表3: プロトタイプが提供するセキュリティ機能
Table 4: Mapping of Security Capabilities to NIST SP 800-53 Controls 表4:NIST SP 800-53コントロールへのセキュリティ機能のマッピング
List of Figures 図の一覧
Figure 1: Concept of Trusted Pools 図1:トラステッドプールの概念
Figure 2: Stage 1 Solution Overview 図2:ステージ1のソリューション概要
Figure 3: Stage 3 Solution Architecture 図3:ステージ3のソリューション・アーキテクチャ
Figure 4: Stage 4 Solution Architecture 図4:ステージ4のソリューション・アーキテクチャ
Figure 5: Prototype Implementation Architecture  図5:プロトタイプの実装アーキテクチャ 
Figure 6: Remote Attestation Protocol 図6:リモート証明プロトコル
Figure 7: Prototype Architecture 図7: プロトタイプのアーキテクチャ
Figure 8: MCM Console to Import a Cluster 図8:クラスタをインポートするMCMコンソール
Figure 9: Managed Cluster Policies 図9:マネージドクラスターポリシー
Figure 10: Creating Pipeline for Image Decryption 図10:画像復号のためのパイプラインの作成
Figure 11: Sample JWT Created by TSI 図11:TSI が作成した JWT のサンプル

 

2022.04.21現在の状況...

NISTIR 8320 Hardware-Enabled Security:
Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft)
ハードウェア対応セキュリティ:
クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2草案)
Draft 2021.10.27
NISTIR 8320A Hardware-Enabled Security:
Container Platform Security Prototype
ハードウェア対応セキュリティ:
コンテナ・プラットフォーム・セキュリティ・プロトタイプ
Final 2021.06.17
NISTIR 8320B Hardware-Enabled Security:
Policy-Based Governance in Trusted Container Platforms
ハードウェア対応セキュリティ:
信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Final 2022.04.20
NISTIR 8320C Hardware-Enabled Security:
Machine Identity Management and Protection
ハードウェア対応セキュリティ:
マシン・アイデンティティの管理と保護
Draft 2022.04.20

 

National Cybersecurity Center of Excellence: NCCoE

・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

|

« NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護 | Main | 米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護 | Main | 米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています »