« NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド | Main | NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス »

2022.04.21

NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

こんにちは、丸山満彦です。

NISTが、NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.04.20 NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection

NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護
Announcement 発表
The initial public draft of NIST IR 8320C presents an approach for overcoming security challenges associated with creating, managing, and protecting machine identities, such as cryptographic keys, throughout their lifecycle.  NIST IR 8320Cの最初の公開草案は、暗号鍵などのマシンIDを作成、管理、保護し、そのライフサイクルを通じてセキュリティ上の課題を克服するためのアプローチを提示するものです。 
Abstract 概要
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもあります。暗号鍵のようなマシンIDは、各マシンに適用するポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができます。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされています。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介します。また、これらの課題に対処するための概念実証の実装(プロトタイプ)について説明しています。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図しています。

 

 

・[PDF] NISTIR 8320C (Draft)

20220421-102402

 

目次...

1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Terminology 1.2 専門用語
1.3 Document Structure 1.3 文書の構成
2 Challenges with Protecting Machine Identities 2 マシン・アイデンティティの保護に関する課題
3 Stage 0: Enterprise Machine Identity Management 3 ステージ 0:エンタープライズマシンアイデンティティ管理
3.1 Solution Overview 3.1 ソリューション概要
3.2 Solution Architecture 3.2 ソリューション・アーキテクチャ
4 Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing 4 ステージ 1: ハードウェアベースの機密コンピューティングによる秘密鍵のインユースプロテクション
4.1 Solution Overview 4.1 ソリューション概要
4.2 Solution Architecture 4.2 ソリューション・アーキテクチャ
5 Stage 2: Machine Identity Management and End-to-End Protection 5 ステージ 2:マシンID管理とエンドツーエンドの保護
5.1 Solution Overview 5.1 ソリューション概要
5.2 Solution Architecture 5.2 ソリューションアーキテクチャ
List of Appendices 附属書一覧
Appendix A— Hardware Architecture 附属書A ハードウェアアーキテクチャ
Appendix B— Venafi Machine Identity Management Implementation 附属書B Venafi マシン・アイデンティティ・マネジメントの実装
Appendix C— Intel In-Use Secret Key Protection Implementation 附属書C インテル インユース秘密鍵保護の実装
Appendix D— Machine Identity Runtime Protection and Confidential Computing Integration 附属書D マシンアイデンティティランタイム保護とコンフィデンシャルコンピューティングの統合
D.1 Solution Overview D.1 ソリューション概要
D.2 Solution Architecture D.2 ソリューション・アーキテクチャ
D.3 Installation and Configuration D.3 インストールと構成
Appendix E— Acronyms and Other Abbreviations 附属書E 頭字語およびその他の略語
List of Figures 図表
Figure 1 - Stage 0 Implementation: Typical Enterprise-Grade Machine Identity Management 図 1 - ステージ 0 の実装。典型的なエンタープライズグレードのマシンID管理
Figure 2 - Private Key Protection Flows 図 2 - 秘密鍵の保護フロー
Figure 3 - High-Level Prototype Architecture 図 3 - ハイレベルプロトタイプアーキテクチャ
Figure 4 - Prototype Architecture 図 4 - プロトタイプ・アーキテクチャ
Figure 5 - Intel SGX Enclave 図 5 - Intel SGXエンクレーブ
Figure 6 - BIOS Enable SGX 図 6 - BIOSによるSGXの有効化
Figure 7 - Machine Identity Secret Key Protection by Intel SGX at Runtime 図 7 - ランタイムでのインテル® SGX によるマシン・アイデンティティの秘密鍵保護
Figure 8 - End-to-End Machine Identity Lifecycle Management Platform 図 8 - エンド・ツー・エンドのマシン・アイデンティティ・ライフサイクル管理プラットフォーム
Figure 9 - High-Level View of the Trust Protection Platform and SKC Integration 図 9 - トラスト・プロテクション・プラットフォームとSKC統合のハイレベルビュー
Figure 10 - Communication Flows between SKC, Trust Protection Platform, and CA 図 10 - SKC、Trust Protection Platform、およびCA間の通信フロー
Figure 11 - Create Venafi Adaptable Workflow Object 図 11 - Venafi Adaptable Workflow オブジェクトの作成
List of Tables
Table 1 - Trust Protection Platform VM Requirements 表 1 - Trust Protection Platform VM の要件

 

2022.04.21現在の状況...

NISTIR 8320 Hardware-Enabled Security:
Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft)
ハードウェア対応セキュリティ:
クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2草案)
Draft 2021.10.27
NISTIR 8320A Hardware-Enabled Security:
Container Platform Security Prototype
ハードウェア対応セキュリティ:
コンテナ・プラットフォーム・セキュリティ・プロトタイプ
Final 2021.06.17
NISTIR 8320B Hardware-Enabled Security:
Policy-Based Governance in Trusted Container Platforms
ハードウェア対応セキュリティ:
信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Final 2022.04.20
NISTIR 8320C Hardware-Enabled Security:
Machine Identity Management and Protection
ハードウェア対応セキュリティ:
マシン・アイデンティティの管理と保護
Draft 2022.04.20

 

National Cybersecurity Center of Excellence: NCCoE

・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

|

« NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド | Main | NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド | Main | NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス »