NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ：マシン・アイデンティティの管理と保護: まるちゃんの情報セキュリティ気まぐれ日記

November 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

2022.04.21

NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ：マシン・アイデンティティの管理と保護

こんにちは、丸山満彦です。

NISTが、NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ：マシン・アイデンティティの管理と保護を公表し、意見募集をしていますね。。。

● NIST - ITL

・2022.04.20 NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection

NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection	NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ：マシン・アイデンティティの管理と保護
Announcement	発表
The initial public draft of NIST IR 8320C presents an approach for overcoming security challenges associated with creating, managing, and protecting machine identities, such as cryptographic keys, throughout their lifecycle.	NIST IR 8320Cの最初の公開草案は、暗号鍵などのマシンIDを作成、管理、保護し、そのライフサイクルを通じてセキュリティ上の課題を克服するためのアプローチを提示するものです。
Abstract	概要
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation.	組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもあります。暗号鍵のようなマシンIDは、各マシンに適用するポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができます。しかし、使用中の機密データ（メモリ内のマシンIDなど）は保護されていないため、危険にさらされています。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介します。また、これらの課題に対処するための概念実証の実装（プロトタイプ）について説明しています。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図しています。

・[PDF] NISTIR 8320C (Draft)

目次...

1 Introduction	1 はじめに
1.1 Purpose and Scope	1.1 目的と範囲
1.2 Terminology	1.2 専門用語
1.3 Document Structure	1.3 文書の構成
2 Challenges with Protecting Machine Identities	2 マシン・アイデンティティの保護に関する課題
3 Stage 0: Enterprise Machine Identity Management	3 ステージ 0：エンタープライズマシンアイデンティティ管理
3.1 Solution Overview	3.1 ソリューション概要
3.2 Solution Architecture	3.2 ソリューション・アーキテクチャ
4 Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing	4 ステージ 1: ハードウェアベースの機密コンピューティングによる秘密鍵のインユースプロテクション
4.1 Solution Overview	4.1 ソリューション概要
4.2 Solution Architecture	4.2 ソリューション・アーキテクチャ
5 Stage 2: Machine Identity Management and End-to-End Protection	5 ステージ 2：マシンID管理とエンドツーエンドの保護
5.1 Solution Overview	5.1 ソリューション概要
5.2 Solution Architecture	5.2 ソリューションアーキテクチャ
List of Appendices	附属書一覧
Appendix A— Hardware Architecture	附属書A ハードウェアアーキテクチャ
Appendix B— Venafi Machine Identity Management Implementation	附属書B Venafi マシン・アイデンティティ・マネジメントの実装
Appendix C— Intel In-Use Secret Key Protection Implementation	附属書C インテルインユース秘密鍵保護の実装
Appendix D— Machine Identity Runtime Protection and Confidential Computing Integration	附属書D マシンアイデンティティランタイム保護とコンフィデンシャルコンピューティングの統合
D.1 Solution Overview	D.1 ソリューション概要
D.2 Solution Architecture	D.2 ソリューション・アーキテクチャ
D.3 Installation and Configuration	D.3 インストールと構成
Appendix E— Acronyms and Other Abbreviations	附属書E 頭字語およびその他の略語
List of Figures	図表
Figure 1 - Stage 0 Implementation: Typical Enterprise-Grade Machine Identity Management	図 1 - ステージ 0 の実装。典型的なエンタープライズグレードのマシンID管理
Figure 2 - Private Key Protection Flows	図 2 - 秘密鍵の保護フロー
Figure 3 - High-Level Prototype Architecture	図 3 - ハイレベルプロトタイプアーキテクチャ
Figure 4 - Prototype Architecture	図 4 - プロトタイプ・アーキテクチャ
Figure 5 - Intel SGX Enclave	図 5 - Intel SGXエンクレーブ
Figure 6 - BIOS Enable SGX	図 6 - BIOSによるSGXの有効化
Figure 7 - Machine Identity Secret Key Protection by Intel SGX at Runtime	図 7 - ランタイムでのインテル® SGX によるマシン・アイデンティティの秘密鍵保護
Figure 8 - End-to-End Machine Identity Lifecycle Management Platform	図 8 - エンド・ツー・エンドのマシン・アイデンティティ・ライフサイクル管理プラットフォーム
Figure 9 - High-Level View of the Trust Protection Platform and SKC Integration	図 9 - トラスト・プロテクション・プラットフォームとSKC統合のハイレベルビュー
Figure 10 - Communication Flows between SKC, Trust Protection Platform, and CA	図 10 - SKC、Trust Protection Platform、およびCA間の通信フロー
Figure 11 - Create Venafi Adaptable Workflow Object	図 11 - Venafi Adaptable Workflow オブジェクトの作成
List of Tables	表
Table 1 - Trust Protection Platform VM Requirements	表 1 - Trust Protection Platform VM の要件

2022.04.21現在の状況...

NISTIR	8320	Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft)	ハードウェア対応セキュリティ：クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現（第2草案）	Draft	2021.10.27
NISTIR	8320A	Hardware-Enabled Security: Container Platform Security Prototype	ハードウェア対応セキュリティ：コンテナ・プラットフォーム・セキュリティ・プロトタイプ	Final	2021.06.17
NISTIR	8320B	Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms	ハードウェア対応セキュリティ：信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス	Final	2022.04.20
NISTIR	8320C	Hardware-Enabled Security: Machine Identity Management and Protection	ハードウェア対応セキュリティ：マシン・アイデンティティの管理と保護	Draft	2022.04.20