Cloud Security Alliance ソフトウェア定義境界 (SDP) とドメインネームシステム (DNS) の統合:強化されたゼロトラストポリシーの適用 (2022.04.12)
こんにちは、丸山満彦です。
Cloud Security AllianceがSDPとDNSの統合:強化されたゼロトラストポリシーの適用という研究文書を発表していますね。。。
こういうのは面白いですね。。。
● Cloud Security Alliance (CSA)
New Cloud Security Alliance Paper Explores How Enterprises Can Augment, Integrate DNS Systems with Software-Defined Perimeter (SDP) to Enhance Security | クラウドセキュリティアライアンスの新しい文書では、組織体がセキュリティを強化するためにDNSシステムをSDP(ソフトウェア定義境界)で補強、統合する方法について説明しています。 |
Security visibility, resiliency, and responsiveness can be improved by combining Domain Name Systems and enterprise-managed DDI systems with SDP | ドメインネームシステムおよび組織体管理DDIシステムとSDPを組み合わせることで、セキュリティの可視性、強靭性、応答性を向上させることができます。 |
SEATTLE – April 13, 2022 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, has published a new white paper, Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement. Drafted by the Software-Defined Perimeter (SDP) and Zero Trust Working Group, the document explores how enterprise DDI systems – which collectively refer to three core network services, namely Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), and Internet Protocol Address Management (IPAM) – can augment and integrate with SDP to enhance organizations’ security, resiliency, and responsiveness. | SEATTLE - 2022年4月13日 - クラウドコンピューティング環境の安全性を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるCloud Security Alliance(CSA)は、新しいホワイトペーパー「SDPとDNSの統合」を発表しました。ゼロトラストポリシーの強化 Software-Defined Perimeter (SDP) and Zero Trust Working Groupが作成したこのホワイトペーパーでは、企業のDDIシステム(DNS、DHCP、IPAMの3つのコアネットワークサービス)がSDPと統合され、セキュリティ、強靭性、応答性を強化する方法について説明しています。 |
DNS maps human-readable domain names (e.g., cloudsecurityalliance.org) to numerical internet protocol (IP) addresses. Setting and enforcing policy at the DNS layer isn’t compute-intensive and has the further advantage of being able to scale to millions. However, the ubiquity of DNS and the fact that it’s largely open, connectionless, and unencrypted, makes it a commonly exploited means of infiltrating malware into networks and exfiltrating data. Additional mechanisms are required for a fine-grained policy framework and enforcement to leverage the DDI database. DDI services can provide enterprises with visibility and control, and when combined with SDP can deliver considerably improved security and help organizations advance their Zero Trust security journeys. | DNSは、人間が読めるドメイン名(例:cloudsecurityalliance.org)を数値のインターネットプロトコル(IP)アドレスにマッピングします。DNSレイヤーでのポリシーの設定と実行は、コンピュータに負荷がかからず、数百万単位で拡張できるというさらなる利点があります。しかし、DNSはどこにでも存在し、その大部分がオープンで、接続がなく、暗号化されていないため、マルウェアをネットワークに侵入させ、データを流出させる手段として悪用されることが一般的です。DDIデータベースを活用するためには、きめ細かなポリシーフレームワークと執行のための追加メカニズムが必要です。DDIサービスは、企業に可視性と制御を提供し、SDPと組み合わせることで、セキュリティを大幅に改善し、組織がゼロトラストセキュリティに推進するのを支援することができます。 |
“Integrating the three core systems that comprise DDI helps provide control, automation, and security for today’s modern and highly distributed networks. Tying together traditionally distinct systems for more holistic enforcement is a hallmark of the Zero Trust security approach, and DDI has the unique advantage of logging who’s on the network, where they’re going, and, more importantly, where they’ve been. Information security will always be multi-layered, and Zero Trust via SDP is an approach that benefits from integration with many other parts of an enterprise security infrastructure,” said Shamun Mahmud, senior research analyst, Cloud Security Alliance. | Cloud Security Allianceのシニアリサーチアナリスト、シャーマン・マーマドは以下のように述べています。「DDIを構成する3つのコアシステムを統合することで、今日の高度に分散したネットワークに制御、自動化、およびセキュリティを提供することができます。DDIは、誰がネットワークにいるのか、どこに行くのか、そしてより重要なのは、どこにいたのかを記録するというユニークな利点を持っています。情報セキュリティは常に多層的であり、SDPによるゼロトラストは、企業のセキュリティインフラの他の多くの部分との統合によって恩恵を受けるアプローチです。」 |
The paper explains how by integrating an SDP architecture with DNS, a strategy that results in improved security, organizations can leverage DNS as a Zero Trust network policy enforcement point alongside the SDP policy enforcement points and mine valuable DNS data for faster threat response by SDPs. Two use cases where enterprise-managed DDI integrates with SDP to improve security, contextual awareness, and responsiveness are included by way of example. | 本文書では、SDPアーキテクチャをDNSと統合することで、セキュリティを向上させる戦略、つまり組織がDNSをSDPのポリシー実施ポイントと並ぶゼロトラストネットワークポリシー実施ポイントとして活用し、貴重なDNSデータをマイニングしてSDPによる脅威対応を迅速に行う方法を説明しています。企業で管理されるDDIをSDPと統合して、セキュリティ、コンテキスト認識、および応答性を向上させる2つのユースケースを例として挙げています。 |
・2022.04.12 Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement
Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement | SDPとDNSの統合:強化されたゼロトラストポリシーの適用 |
The purpose of this research article is to explain how DNS and the enterprise-managed DDI system can be combined with a Software-Defined Perimeter to deliver improved security visibility, resiliency, and responsiveness. | この研究文書の目的は、DNSと企業が管理するDDIシステムをソフトウェア定義境界と組み合わせることで、セキュリティの可視性、回復力、応答性を向上させる方法を説明することです。 |
This position paper explores two use cases where DNS and the enterprise-managed DDI and SDP can be combined to improve security, contextual awareness, and responsiveness. This type of integration - tying together systems traditionally distinct for more holistic enforcement - is a hallmark of the Zero Trust approach to security. This paper does not address the security of the DNS infrastructure itself. | このポジションペーパーでは、DNSと企業が管理するDDIおよびSDPを組み合わせて、セキュリティ、状況認識、および応答性を向上させることができる2つのユースケースを探ります。この種の統合(従来は別個のシステム同士を結び付けてより全体的な強化を図る)は、セキュリティに対するゼロトラストアプローチの特徴です。本文書では、DNSインフラ自体のセキュリティについては言及しません。 |
・[PDF] 簡単な質問に答えるとダウンロードできます
目次...
1. Introduction | 1. はじめに |
1.1 Purpose | 1.1 目的 |
1.2 Scope | 1.2 対象範囲 |
1.3 Audience | 1.3 想定読者 |
1.4 The Domain Name System (DNS) | 1.4 ドメインネームシステム(DNS) |
1.4.1 Dynamic Host Configuration Protocol (DHCP) | 1.4.1 動的ホスト構成プロトコル(DHCP) |
1.4.2 Internet Protocol Address Management (IPAM) | 1.4.2 インターネットプロトコルアドレス管理(IPAM) |
1.4.3 Cloud Managed Implementation | 1.4.3 クラウドマネージド実装 |
1.5 DNS-Based Security | 1.5 DNSを利用したセキュリティ |
1.5.1 Malware Control Point | 1.5.1 マルウェアのコントロールポイント |
1.5.2 Blocking Data Exfiltration | 1.5.2 データ流出の阻止 |
1.5.3 Domain Generation Algorithms (DGAs) Control Point | 1.5.3 ドメイン生成アルゴリズム(DGA)制御ポイント |
1.5.4 Category-Based Filtering | 1.5.4 カテゴリに基づくフィルタリング |
1.6 Zero Trust Policy Enforcement | 1.6 ゼロトラスト・ポリシーの実施 |
1.6.1 SDP and Zero Trust Policy Enforcement | 1.6.1 SDPとゼロ・トラスト・ポリシーの実施 |
1.6.2 DNS and Zero Trust Policy Enforcement | 1.6.2 DNSとゼロトラストポリシーの適用 |
2. SDP/Zero Trust and DNS Use Cases | 2. SDP/ゼロトラストとDNSの使用例 |
2.1 Use Case #1: DNS providing Context and Metadata to SDP | 2.1 ユースケース#1: DNSからSDPへのコンテキストとメタデータの提供 |
2.1.1 Policy Enforcement in Use Case No. 1 | 2.1.1 ユースケースNo.1におけるポリシーエンフォースメント |
2.1.1.1 Network Context and Identity Information | 2.1.1.1 ネットワークコンテキストとアイデンティティ情報 |
2.1.2 Responding to Malicious Activity | 2.1.2 悪意ある行為への対応 |
2.1.3 Location-Based Access Controls | 2.1.3 位置情報を利用したアクセス制御 |
2.1.4 Device-Based Access Controls | 2.1.4 デバイスベースのアクセス制御 |
2.1.5 User-Based Access Control | 2.1.5 ユーザーベースのアクセス制御 |
2.2 Use Case #2 - SDP Controller Publishing Policy Decisions to DNS | 2.2 ユースケース#2 - SDPコントローラーがDNSにポリシー決定を公開する場合 |
2.2.1 Policy Enforcement in DNS - an additional layer of security | 2.2.1 DNSにおけるポリシー実施 - セキュリティの追加レイヤー |
3. Conclusion | 3. 結論 |
4. References | 4. 参考文献 |
5. Acronyms | 5. 頭字語 |
« SaaSの設定ミスがセキュリティインシデントの63%に関与している? (Cloud Security Alliance ) | Main | 総務省 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめの公表 (2022.04.15) »
Comments