« ドイツ BSI 宇宙インフラのためのサイバーセキュリティ | Main | インド 個人情報保護法の制定は振り出しに戻る? »

2022.08.06

NIST SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイド

こんにちは、丸山満彦です。

NISTが、SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイドを公表していますね。。。

・マルチクラウド環境

・地理期的に広がった事業所

・疎結合のマイクロサービスへの移行

などをふまえて・・・ということですかね。。。

 

今後のネットワーク・アーキテクチャを考える上で参考になりそうですね。。。

 

NIST - ITL

・2022.08.05 SP 800-215 (Draft) Guide to a Secure Enterprise Network Landscape

SP 800-215 (Draft) Guide to a Secure Enterprise Network Landscape SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイド
Announcement 発表
The enterprise network landscape has undergone a significant transformation in the last decade. The drivers for this transformation are enterprise access to multiple cloud services, the geographic spread of enterprise-owned (on-premises) IT resources (e.g., in a central office, multiple branch offices, and data centers), and changes to application architecture from being monolithic to a set of loosely coupled microservices. The transformation has the following security impacts: 企業のネットワーク環境は、過去10年間で大きな変貌を遂げた。この変革の推進力は、複数のクラウドサービスへの企業アクセス、組織体が所有する(オンプレミスの)ITリソースの地理的な広がり(例えば、セントラルオフィス、複数の支店、データセンター)、モノリシックから疎結合のマイクロサービスのセットへのアプリケーションアーキテクチャの変更である。この変革は、以下のようなセキュリティ上の影響をもたらす。
・disappearance of the concept of a perimeter associated with the enterprise network; ・企業ネットワークに関連する境界の概念の消滅。
・an increase in attack surface due to the sheer multiplicity of IT resource components; and ・ITリソースの構成要素の多様化に伴う攻撃対象の増加。
・sophistication of the attackers in their ability to escalate attacks across several network boundaries leveraging the connectivity features. ・接続機能を利用して、複数のネットワーク境界を越えて攻撃をエスカレートさせる攻撃者の能力の高度化。
The initial public draft of NIST Special Publication (SP) 800-215, Guide to a Secure Enterprise Network Landscape, provides guidance for navigating this new enterprise network landscape from a secure operations perspective. It examines the security limitations of current network access solutions and point security solutions through traditional appliances with enhanced security features. It also considers new appliances, emerging network configurations, frameworks that incorporate the configurations, and cloud-based wide area network (WAN) services with integrated security infrastructures. NIST特別出版物 (SP) 800-215「安全なエンタープライズ・ネットワーク環境のためのガイド」の最初の公開草案は、この新しい企業ネットワーク環境を安全な運用の観点からナビゲートするためのガイダンスを提供するものである。このガイドでは、セキュリティ機能を強化した従来のアプライアンスを通じて、現在のネットワーク・アクセス・ソリューションとポイント・セキュリティ・ソリューションのセキュリティの限界を検証している。また、新しいアプライアンス、新たなネットワーク構成、これらの構成を取り入れたフレームワーク、セキュリティインフラを統合したクラウドベースのワイドエリアネットワーク(WAN)サービスについても考察している。
Abstract 概要
Access to multiple cloud services, the geographic spread of enterprise IT resources (including multiple data centers), and the emergence of microservices-based applications (as opposed to monolithic ones) have significantly altered the enterprise network landscape. This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. Hence, it starts by examining the security limitations of the current network access solutions to the enterprise network. It then considers security feature enhancements to traditional network appliances in the form of point security solutions, network configurations for various security functions (e.g., application security, cloud access security, device or endpoint security, etc.), security frameworks that integrate these individual network configurations, and the evolving wide area network (WAN) infrastructure to provide a comprehensive set of security services for the modern enterprise network landscape. 複数のクラウド・サービスへのアクセス、組織体のITリソースの地理的な広がり(複数のデータセンターを含む)、マイクロサービス・ベースのアプリケーションの出現(モノリシックなものとは対照的)により、組織体のネットワークの状況は大きく変化している。本書は、この新しいエンタープライズ・ネットワークの状況に対して、セキュアな運用の観点からガイダンスを提供することを意図している。そのため、まず、現在のエンタープライズ・ネットワークへのネットワークアクセスソリューションのセキュリティ上の制限を検証する。次に、ポイントセキュリティソリューションという形で従来のネットワーク機器に追加されたセキュリティ機能、さまざまなセキュリティ機能(アプリケーションセキュリティ、クラウドアクセスセキュリティ、デバイスまたはエンドポイントセキュリティなど)のためのネットワーク構成、これらの個々のネットワーク構成を統合するセキュリティフレームワーク、現代のエンタープライズネットワーク環境に包括的なセキュリティサービスセットを提供するための進化した広域ネットワーク(WAN)インフラについて考察している。

 

・[PDF] SP 800-215 (Draft)

20220806-22317

 

目次

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1. Structural Implication of Drivers on Enterprise Network Landscape 1.1. エンタープライズ・ネットワークへのドライバの構造的影響
1.2. Security Implication of Drivers for the Enterprise Network Landscape 1.2. ドライバがエンタープライズ・ネットワーク環境に与えるセキュリティ上の影響
1.3. The Need for a Security Guide 1.3. セキュリティガイドの必要性
1.4. Scope 1.4. 適用範囲
1.5. Target Audience 1.5. 対象読者
1.6. Organization of This Document 1.6. 本文書の構成
2. Traditional Enterprise Network Access Approaches and Their Limitations 2. 従来のエンタープライズ・ネットワークアクセスのアプローチとその限界
2.1. Limitations of Network Perimeter-based Protections 2.1. ネットワーク境界ベースの防御の限界
2.2. Limitations of VPN-based Access 2.2. VPN によるアクセスの限界
2.3. Limitation of MPLS Technology as Enterprise WANs 2.3. エンタープライズWANとしてのMPLS技術の限界
2.4. Limitation of User Identity-based Controls 2.4. ユーザーIDを利用した制御の限界
3. Network Security Appliances in Enterprise Network Landscape 3. エンタープライズ・ネットワークにおけるネットワークセキュリティアプライアンスの位置づけ
3.1. Cloud Access Security Broker (CASB) 3.1. クラウドアクセスセキュリティブローカー(CASB)
3.2. Enhanced Firewall Capabilities 3.2. 強化されたファイアウォール機能
3.3. Appliance-set with Integrated Functions 3.3. 機能統合型アプライアンスセット
3.4. Requirements for Network Automation Tools 3.4. ネットワーク自動化ツールの要件
3.4.1. Network Monitoring and Observability Tools 3.4.1. ネットワーク監視・監視可能ツール
3.4.2. Automated Network Provisioning Tools 3.4.2. ネットワーク自動化プロビジョニングツール
3.5. Networking Appliances as Services 3.5. サービスとしてのネットワーク・アプライアンス
4. Enterprise Network Configurations for Hybrid Application Environments 4. ハイブリッドアプリケーション環境におけるエンタープライズ・ネットワーク構成
4.1. Network Configuration for Device Management 4.1. デバイス管理のためのネットワーク構成
4.2. Network Configuration for User Authentication 4.2. ユーザー認証のためのネットワーク構成
4.3. Network Configuration for Device Authentication and Health Monitoring 4.3. 機器認証とヘルスモニタリングのためのネットワーク構成
4.4. Network Configuration for Authorizing Application Access 4.4. アプリケーションのアクセスを許可するためのネットワーク構成
4.5. Network Configuration for Preventing Attack Escalation (Microsegmentation) 4.5. 攻撃のエスカレーションを防ぐネットワーク構成 (マイクロセグメンテーション)
4.5.1. Prerequisites for Implementing Microsegmentation 4.5.1. マイクロセグメンテーションを実装するための前提条件
4.5.2. Microsegmentation – Implementation Approaches 4.5.2. マイクロセグメンテーション - 実装方法
4.6. Security Frameworks Governing Network Configurations 4.6. ネットワーク構成を管理するセキュリティフレームワーク
4.6.1. Conceptual Underpinnings – Contextual Information 4.6.1. 概念的な背景 - コンテキスト情報
4.6.2. Network Security Framework – Software-defined Perimeter (SDP) 4.6.2. ネットワークセキュリティフレームワーク - ソフトウェア定義境界 (SDP)
4.6.3. Network Security Framework – Zero Trust Network Access (ZTNA) 4.6.3. ネットワークセキュリティフレームワーク - ゼロトラストネットワークアクセス(ZTNA)
5. Secure Wide Area Network Infrastructure for an Enterprise Network 5. エンタープライズ・ネットワークにおけるセキュアな広域ネットワーク基盤
5.1. Common Requirements for a Secure SD-WAN 5.1. セキュアなSD-WANの共通要件
5.2. Specific Requirements for WANs for Cloud Access 5.2. クラウドアクセスのためのWANの具体的要件
5.3. Requirements for an Integrated Security Services Architecture for SD-WAN 5.3. SD-WANのための統合セキュリティサービスアーキテクチャの要件
6. Summary and Conclusions 6. まとめと結論
References 参考文献

 

Executive Summary  エグゼクティブサマリー 
The enterprise network landscape has undergone tremendous changes in the last decade due to the following three drivers:  エンタープライズ・ネットワークの状況は、以下の3つの要因によって、この10年で大きく変化している。
1. Enterprise access to multiple cloud services,   1. 組織体が複数のクラウド・サービスにアクセスできるようになっていること。 
2. The geographical spread of enterprise-based (on-premises) IT resources (e.g., multiple data centers and branch offices), and   2. 組織体内(オンプレミス)ITリソースが地理的(複数のデータセンターや支社など)に広がっていること。
3. Changes to application architecture from being monolithic to a set of loosely coupled microservices.  3. アプリケーションのアーキテクチャが、モノリシックから疎結合のマイクロサービスへと変化していること。
The impact of these drivers on the security of the enterprise network landscape include:  これらの推進要因が、エンタープライズ・ネットワーク環境のセキュリティに与える影響としては、以下のようなものが挙げられる。
• Disappearance of the concept of a network perimeter that can be protected and the necessity to protect each endpoint (device or service) that treats it as a perimeter  ・ネットワークの境界を保護するという概念の消滅と、境界として扱う各エンドポイント(デバイスやサービス)の保護の必要性 
• Increase in attack surface due to sheer multiplicity of IT resources (computing, networking, storage) and components  ・ITリソース(コンピューティング、ネットワーク、ストレージ)とコンポーネントの多重化による攻撃対象領域の拡大 
• Sophistication of the attackers in their ability to escalate attacks across several network boundaries and leverage connectivity features  ・複数のネットワーク境界を越えて攻撃をエスカレートさせ、接続機能を活用する攻撃者の能力が高度化されたこと
This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. The adopted methodology considers the security challenges that the network poses and then examines the limitations of current network access technologies and how solutions have evolved from being security function-specific to a security framework to a comprehensive security infrastructure that provides a holistic set of security services. Specific areas addressed include:  本書は、このような新しいエンタープライズ・ネットワークの状況に対して、安全な運用という観点からガイダンスを提供することを目的としている。採用した手法は、ネットワークがもたらすセキュリティ上の課題を考慮した上で、現在のネットワークアクセス技術の限界と、ソリューションがセキュリティ機能に特化したものからセキュリティフレームワーク、包括的なセキュリティサービスのセットを提供する総合セキュリティインフラへと発展してきたことを検証している。具体的には、以下のような分野を取り上げる。
• Feature enhancements to traditional network security appliances  ・従来のネットワークセキュリティアプライアンスの機能強化
• Secure enterprise networking configurations for various scenarios  ・さまざまなシナリオに対応した安全な企業ネットワーク構成
• Security frameworks that integrate individual network configurations  ・個々のネットワーク構成を統合するセキュリティフレームワーク
• Evolving wide area network (WAN) infrastructure that provides a comprehensive set of security services  ・包括的なセキュリティサービスを提供する進化したWAN(Wide Area Network)インフラストラクチャ 
What is termed as the enterprise network in this document encompasses the various local networks on enterprise premises and that portion of wide area network that is used to connect its various geographically dispersed locations and cloud service access points. 本書では、エンタープライズ・ネットワークとして、組織体敷地内のさまざまなローカルネットワークと、地理的に分散したさまざまな拠点やクラウドサービスのアクセスポイントを結ぶためのワイドエリアネットワークの一部を定義している。

 

 

|

« ドイツ BSI 宇宙インフラのためのサイバーセキュリティ | Main | インド 個人情報保護法の制定は振り出しに戻る? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ドイツ BSI 宇宙インフラのためのサイバーセキュリティ | Main | インド 個人情報保護法の制定は振り出しに戻る? »