NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護
こんにちは、丸山満彦です。
NISTが、NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護を公表し、意見募集をしていますね。。。
● NIST - ITL
・2022.04.20 NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection
NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection | NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護 |
Announcement | 発表 |
The initial public draft of NIST IR 8320C presents an approach for overcoming security challenges associated with creating, managing, and protecting machine identities, such as cryptographic keys, throughout their lifecycle. | NIST IR 8320Cの最初の公開草案は、暗号鍵などのマシンIDを作成、管理、保護し、そのライフサイクルを通じてセキュリティ上の課題を克服するためのアプローチを提示するものです。 |
Abstract | 概要 |
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. | 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもあります。暗号鍵のようなマシンIDは、各マシンに適用するポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができます。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされています。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介します。また、これらの課題に対処するための概念実証の実装(プロトタイプ)について説明しています。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図しています。 |
・[PDF] NISTIR 8320C (Draft)
目次...
1 Introduction | 1 はじめに |
1.1 Purpose and Scope | 1.1 目的と範囲 |
1.2 Terminology | 1.2 専門用語 |
1.3 Document Structure | 1.3 文書の構成 |
2 Challenges with Protecting Machine Identities | 2 マシン・アイデンティティの保護に関する課題 |
3 Stage 0: Enterprise Machine Identity Management | 3 ステージ 0:エンタープライズマシンアイデンティティ管理 |
3.1 Solution Overview | 3.1 ソリューション概要 |
3.2 Solution Architecture | 3.2 ソリューション・アーキテクチャ |
4 Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing | 4 ステージ 1: ハードウェアベースの機密コンピューティングによる秘密鍵のインユースプロテクション |
4.1 Solution Overview | 4.1 ソリューション概要 |
4.2 Solution Architecture | 4.2 ソリューション・アーキテクチャ |
5 Stage 2: Machine Identity Management and End-to-End Protection | 5 ステージ 2:マシンID管理とエンドツーエンドの保護 |
5.1 Solution Overview | 5.1 ソリューション概要 |
5.2 Solution Architecture | 5.2 ソリューションアーキテクチャ |
List of Appendices | 附属書一覧 |
Appendix A— Hardware Architecture | 附属書A ハードウェアアーキテクチャ |
Appendix B— Venafi Machine Identity Management Implementation | 附属書B Venafi マシン・アイデンティティ・マネジメントの実装 |
Appendix C— Intel In-Use Secret Key Protection Implementation | 附属書C インテル インユース秘密鍵保護の実装 |
Appendix D— Machine Identity Runtime Protection and Confidential Computing Integration | 附属書D マシンアイデンティティランタイム保護とコンフィデンシャルコンピューティングの統合 |
D.1 Solution Overview | D.1 ソリューション概要 |
D.2 Solution Architecture | D.2 ソリューション・アーキテクチャ |
D.3 Installation and Configuration | D.3 インストールと構成 |
Appendix E— Acronyms and Other Abbreviations | 附属書E 頭字語およびその他の略語 |
List of Figures | 図表 |
Figure 1 - Stage 0 Implementation: Typical Enterprise-Grade Machine Identity Management | 図 1 - ステージ 0 の実装。典型的なエンタープライズグレードのマシンID管理 |
Figure 2 - Private Key Protection Flows | 図 2 - 秘密鍵の保護フロー |
Figure 3 - High-Level Prototype Architecture | 図 3 - ハイレベルプロトタイプアーキテクチャ |
Figure 4 - Prototype Architecture | 図 4 - プロトタイプ・アーキテクチャ |
Figure 5 - Intel SGX Enclave | 図 5 - Intel SGXエンクレーブ |
Figure 6 - BIOS Enable SGX | 図 6 - BIOSによるSGXの有効化 |
Figure 7 - Machine Identity Secret Key Protection by Intel SGX at Runtime | 図 7 - ランタイムでのインテル® SGX によるマシン・アイデンティティの秘密鍵保護 |
Figure 8 - End-to-End Machine Identity Lifecycle Management Platform | 図 8 - エンド・ツー・エンドのマシン・アイデンティティ・ライフサイクル管理プラットフォーム |
Figure 9 - High-Level View of the Trust Protection Platform and SKC Integration | 図 9 - トラスト・プロテクション・プラットフォームとSKC統合のハイレベルビュー |
Figure 10 - Communication Flows between SKC, Trust Protection Platform, and CA | 図 10 - SKC、Trust Protection Platform、およびCA間の通信フロー |
Figure 11 - Create Venafi Adaptable Workflow Object | 図 11 - Venafi Adaptable Workflow オブジェクトの作成 |
List of Tables | 表 |
Table 1 - Trust Protection Platform VM Requirements | 表 1 - Trust Protection Platform VM の要件 |
2022.04.21現在の状況...
NISTIR | 8320 | Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft) |
ハードウェア対応セキュリティ: クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2草案) |
Draft | 2021.10.27 |
NISTIR | 8320A | Hardware-Enabled Security: Container Platform Security Prototype |
ハードウェア対応セキュリティ: コンテナ・プラットフォーム・セキュリティ・プロトタイプ |
Final | 2021.06.17 |
NISTIR | 8320B | Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms |
ハードウェア対応セキュリティ: 信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス |
Final | 2022.04.20 |
NISTIR | 8320C | Hardware-Enabled Security: Machine Identity Management and Protection |
ハードウェア対応セキュリティ: マシン・アイデンティティの管理と保護 |
Draft | 2022.04.20 |
● National Cybersecurity Center of Excellence: NCCoE
・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security
まるちゃんの情報セキュリティ気まぐれ日記
・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド
・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護
・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)
・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド
・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ
・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集
« NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド | Main | NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス »
Comments