NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)
こんにちは、丸山満彦です。
NISTがSP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)を公表し、意見募集をしていますね。。。
今回は、Volume A: Executive Summary です。
初期ドラフトなので、本質的な内容というよりも課題と方向性の確認というところが基本的なポイントですかね。。。
充実していくのが楽しみなSPですね。。。
● NIST - ITL
・2022.06.03 SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft)
SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft) | SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト) |
Announcement | 発表 |
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has published volume A of a preliminary draft practice guide titled "Implementing a Zero Trust Architecture" and is seeking the public's comments on its contents. This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. As the project progresses, the preliminary draft will be updated, and additional volumes will also be released for comment. | NISTのナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のゼロトラスト・アーキテクチャ(ZTA)チームは、「ゼロトラストアーキテクチャの実装」と題した実践ガイドの初期ドラフトA巻を公開し、その内容に関する一般からのコメントを求めています。このガイドは、NCCoEとその協力者が、NIST Special Publication (SP) 800-207, ゼロトラスト・アーキテクチャの概念と原則に沿った、相互運用可能でオープンスタンダードに基づくZTA実装を、市販の技術を使用して構築する方法を要約したものです。プロジェクトの進捗に伴い、この暫定版は更新され、コメントのために追加版がリリースされる予定です。 |
Abstract | 概要 |
As an enterprise’s data and resources have become distributed across the on-premises environment and multiple clouds, protecting them has become increasingly challenging. Many users need access from anywhere, at any time, from any device to support the organization’s mission. Data is programmatically stored, transmitted, and processed across different organizations’ environments, which are distributed across on-premises and the cloud to meet ever-evolving business use cases. It is no longer feasible to simply protect data and resources at the perimeter of the enterprise environment and assume that all users, devices, applications, and services within it can be trusted. | 企業のデータとリソースがオンプレミス環境や複数のクラウドに分散するようになり、それらを保護することがますます困難になってきています。多くのユーザーは、組織のミッションをサポートするために、いつでも、どこからでも、どんなデバイスからでもアクセスする必要があります。データは、日々進化するビジネスユースケースに対応するため、オンプレミスやクラウドに分散するさまざまな組織の環境において、プログラムによって保存、転送、処理されています。もはや、企業環境の境界でデータやリソースを保護し、その中にいるすべてのユーザー、デバイス、アプリケーション、サービスを信頼できると仮定することは不可能になっています。 |
A zero-trust architecture (ZTA) enables secure authorized access to each individual resource, whether located on-premises or in the cloud, for a hybrid workforce and partners based on an organization’s defined access policy. For each access request, ZTA explicitly verifies the context available at access time—this includes the requester’s identity and role, the requesting device’s health and credentials, and the sensitivity of the resource. If the defined policy is met, a secure session is created to protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. | ゼロトラストアーキテクチャ(ZTA)は、オンプレミス、クラウドを問わず、ハイブリッドワーカーやパートナーに対して、組織が定義したアクセスポリシーに基づき、個々のリソースへの安全なアクセスを許可するものです。各アクセス要求に対して、ZTAはアクセス時に利用可能なコンテキストを明示的に検証します。これには、要求者のアイデンティティと役割、要求デバイスの状態と認証情報、リソースの機密性などが含まれます。定義されたポリシーに合致する場合、安全なセッションが作成され、リソースとの間で転送されるすべての情報が保護されます。リアルタイムかつ継続的にポリシーに基づいたリスクベースの評価が行われ、アクセスの確立と維持が行われます。 |
This guide summarizes how the National Cybersecurity Center of Excellence (NCCoE) and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment. | このガイドは、ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)とその協力者が、NIST Special Publication (SP) 800-207, ゼロトラスト・アーキテクチャの概念と原則に沿った、相互運用可能でオープンスタンダードベースのZTA実装を構築するために、市販の技術をどのように利用しているかを要約しています。プロジェクトの進捗に伴い、この暫定版は更新され、コメントのために追加版がリリースされる予定です。 |
・[PDF] NIST SP 1800-35A
課題...
CHALLENGE | 課題 |
Organizations would like to adopt a ZTA, but they have been facing some challenges which may include: | 組織はZTAを採用したいと考えているが、以下のような課題に直面しています。 |
§ Leveraging existing investments and balancing priorities while making progress toward a ZTA | § 既存の投資を活用し、優先順位とバランスを取りながら、ZTAの導入を進めること |
§ ZTA deployment requiring leveraging integration of many deployed existing technologies of varying maturities and identifying technology gaps to build a complete ZTA | § ZTAの展開には、様々な成熟度の既存技術を統合し、完全なZTAを構築するための技術ギャップを特定する必要があること |
§ Concern that ZTA might negatively impact the operation of the environment or end-user experience | § ZTAが環境の運用やエンドユーザー・エクスペリエンスに悪影響を及ぼすのではないかという不安 |
§ Lack of common understanding of ZTA across the organization, gauging the organization’s ZTA maturity, determining which ZTA approach is most suitable for the business, and developing an implementation plan | § 組織のZTA成熟度を測定し、どのZTAアプローチがビジネスに最も適しているかを判断し、導入計画を策定すること |
このSPの狙い...
This preliminary practice guide can help your organization: | この初期実践ガイドは、次のようにあなたの組織を支援することができます。 |
§ Identify milestones for gradually integrating ZTA into your environment, based on the demonstrated examples and using a risk-based approach, to: | § 実証された例に基づき、リスクベースのアプローチを用いて、ZTA を環境に徐々に統合するためのマイルストーンを特定する。 |
§ Support teleworkers with access to resources regardless of user location or user device (managed or unmanaged) | § ユーザーの場所やユーザーデバイス(管理下または非管理下)に関係なく、テレワーカーによるリソースへのアクセスをサポートする。 |
§ Protect resources regardless of their location (on-premises or cloud-based) | § 場所(オンプレミスまたはクラウドベース)に関係なく、リソースを保護する。 |
§ Limit the insider threat (insiders are not automatically trusted) | § インサイダーの脅威を制限する(インサイダーは自動的に信頼されるわけではない) |
§ Limit breaches (reduce attackers’ ability to move laterally in the environment) | § 侵害を制限する(攻撃者が環境内で横方向に移動する能力を低下させる)。 |
§ Protect sensitive corporate information with data security solutions | § データセキュリティソリューションによる企業の機密情報の保護 |
§ Improve visibility into the inventory of resources, what configurations and controls are implemented, and how resources are accessed and protected | § リソースのインベントリ、どのような構成と制御が実装されているか、どのようにリソースがアクセスされ保護されているかについての可視性を向上させる。 |
§ Real-time and continuous policy-driven, risk-based assessment of resource access | § リソースアクセスのリアルタイムかつ継続的なポリシー主導のリスクベース評価 |
ソリューション
SOLUTION | ソリューション |
NCCoE is collaborating with ZTA technology providers to build several example ZTA solutions and demonstrate their ability to meet the tenets of ZTA. The solutions will enforce corporate security policy dynamically and in near-real-time to restrict access to authenticated, authorized users and devices while flexibly supporting a complex set of diverse business use cases involving a remote workforce, use of the cloud, partner collaboration, and support for contractors. The example solutions are designed to demonstrate the ability to protect against and detect attacks and malicious insiders. They showcase the ability of ZTA products to interoperate with existing enterprise and cloud technologies with only minimal impact on end-user experience. | NCCoEは、ZTAテクノロジープロバイダーと協力し、いくつかのZTAソリューションの例を構築し、ZTAの原則を満たす能力を実証しています。このソリューションは、企業のセキュリティポリシーをほぼリアルタイムで動的に適用し、認証・許可されたユーザーとデバイスにアクセスを制限します。同時に、リモートワーカー、クラウドの利用、パートナーとのコラボレーション、請負業者のサポートなど、多様で複雑なビジネスユースケースを柔軟にサポートすることができます。このソリューションの例は、攻撃や悪意のあるインサイダーから保護し、検出する能力を実証するために設計されています。また、ZTA製品が既存のエンタープライズおよびクラウドテクノロジーと相互運用でき、エンドユーザーエクスペリエンスに最小限の影響しか与えないことを紹介しています。 |
The project can help organizations plan how to evolve their existing enterprise environments to ZTA, starting with an assessment of their current resources and setting milestones along a path of continuous improvement, gradually bringing them closer to achieving the ZTA goals they have prioritized based on risk, cost, and resources. We are using a phased approach to develop example ZTA solutions that is designed to represent how we believe most enterprises will evolve their enterprise architecture toward ZTA, i.e., by starting with their already-existing enterprise environment and gradually adding or adapting capabilities. Our first implementations are crawl versions of the enhanced identity governance (EIG) deployment because EIG is seen as the foundational component of the other deployment approaches utilized in today’s hybrid environments. Our initial EIG implementations use the identity of subjects and device health as the main determinants of access policy decisions. | このプロジェクトは、組織が既存のエンタープライズ環境をZTAに進化させる方法を計画するのに役立ちます。現在のリソースの評価から始まり、継続的な改善の道筋に沿ってマイルストーンを設定し、リスク、コスト、リソースに基づいて優先的に設定したZTA目標の達成に徐々に近づけていくことが可能です。これは、多くの企業がZTAに向けてエンタープライズアーキテクチャを進化させる際に、既存のエンタープライズ環境から始めて徐々に機能を追加・適応させていくという、段階的なアプローチで開発することを想定しています。EIGは、今日のハイブリッド環境で利用されている他の展開アプローチの基礎となるコンポーネントと見なされているため、私たちの最初の実装は、拡張IDガバナンス(EIG)展開のクローラルバージョンです。最初のEIGの実装では、アクセス・ポリシーを決定する主な決定要因として、被験者のアイデンティティとデバイスの健全性を使用しています。 |
Depending on the current state of identity management in the enterprise, deploying EIG solutions is an initial key step that will be leveraged to support micro-segmentation and software-defined perimeter (SDP) deployment approaches, which will be covered in the later phases of the project. Our strategy is to follow an agile implementation methodology to build everything iteratively and incrementally while adapting or adding more capabilities to evolve to a complete ZTA. We are starting with the minimum viable EIG solution that allows us to achieve some level of ZTA, and then we will gradually deploy additional functional components and features to address an increasing number of ZTA requirements, progressing the project toward demonstration of more robust micro-segmentation and SDP deployment options. | 企業におけるアイデンティティ管理の現状にもよりますが、EIG ソリューションの導入は、マイクロセグメンテーションや SDP (Software-Defined Perimeter) の導入アプローチをサポートするために活用される最初の重要なステップであり、プロジェクトの後のフェーズで取り上げられる予定です。私たちの戦略は、アジャイルな実装方法論に従って、完全なZTAに進化させるために機能を適応させたり追加しながら、反復的かつ段階的にすべてを構築していくことです。まず、ある程度のZTAを実現できる最小限のEIGソリューションから着手し、その後、機能コンポーネントや機能を徐々に追加してZTA要件の増加に対応し、より堅牢なマイクロセグメンテーションとSDP展開オプションの実証に向けてプロジェクトを進展させる予定です。 |
協力企業は24社ありますね。。。こうしてみると、全てが米国の企業ではないのかも知れませんが、米国は企業の層が厚いですよね。。。
- Appgate
- AWS
- Broadcom Software
- Cisco
- DigiCert
- F5
- Forescout
- Google Cloud
- IBM
- Ivanti
- Lookout
- Mandiant
- Microsoft
- Okta
- Palo Alto Networks
- PC Matic
- Ping Identity
- Radiant Logic
- SailPoint
- Tenable
- Trellix
- VMware
- Zimperium
- Zscaler
● NCCoE
・2022.06.03 The Zero Trust Architecture (ZTA) Team Releases Preliminary Draft Practice Guide (Vol A)
« NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加) | Main | 米国 テネシー川流域公社 監察官監査 非電源ダムの制御システムのサイバーセキュリティ (2022.06.01) »
Comments