« 経済安全保障関係 「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について(報告)」のサイバーセキュリティ関係... | Main | CISA アラート(AA22-216A) & ACSC 2021年のトップマルウェア株 »

2022.08.10

NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

こんにちは、丸山満彦です。

NISTがSP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)を公表し、意見募集をしていますね。。。

6月はサマリーにあたる、NIST SP 1800-35A: Executive Summaryを、7月は本文にあたる、NIST SP 1800-35B: Approach, Architecture, and Security Characteristics – what we built and whyを、公表していますが、今回は、

  • Volume C: How-To Guides
  • Volume D: Functional Demonstrations

の二つになります。。。

これで、一連の文書の初期ドラフトが揃ったということですかね。。。


NIST - ITL

・2022.08.09 SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft)

SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft) SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)
Announcement 発表
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has published volumes C and D of a preliminary draft practice guide titled "Implementing a Zero Trust Architecture" and is seeking the public's comments on its contents. NISTのナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のゼロトラスト・アーキテクチャ(ZTA)チームは、「ゼロトラストアーキテクチャの実装」と題した実践ガイドの初期ドラフトC巻とD巻を公開し、その内容に関する一般からのコメントを求めています。
This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. As the project progresses, the preliminary draft will be updated and additional volumes will be released for comment. このガイドは、NCCoEとその協力者が、NIST Special Publication (SP) 800-207, ゼロトラスト・アーキテクチャの概念と原則に沿った、相互運用可能でオープンスタンダードに基づくZTA実装を、市販の技術を使用して構築する方法を要約したものです。プロジェクトの進捗に伴い、この暫定版は更新され、コメントのために追加版がリリースされる予定です。 
Abstract 概要
A zero trust architecture (ZTA) focuses on protecting data and resources. It enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. Each access request is evaluated by verifying the context available at access time, including the requester’s identity and role, the requesting device’s health and credentials, and the sensitivity of the resource. If the enterprise’s defined access policy is met, a secure session is created to protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. In this project, the NCCoE and its collaborators use commercially available technology to build interoperable, open, standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. This NIST Cybersecurity Practice Guide explains how commercially available technology can be integrated and used to build various ZTAs. ゼロトラストアーキテクチャ(ZTA)は、データとリソースの保護に重点を置いています。オンプレミスや複数のクラウド環境に分散している企業リソースへの安全な認証アクセスを可能にし、ハイブリッドワーカーやパートナーが、いつでも、どこからでも、どんなデバイスからでも、組織のミッションをサポートするためにリソースにアクセスできるようにします。各アクセス要求は、アクセス時に利用可能なコンテキスト(要求者のアイデンティティや役割、要求デバイスの状態や認証情報、リソースの機密性など)を検証することで評価されます。企業で定義されたアクセスポリシーに適合する場合、リソースとの間で転送されるすべての情報を保護するために安全なセッションが作成されます。リアルタイムかつ継続的に、ポリシーに基づいたリスクベースの評価が行われ、アクセスの確立と維持が行われます。このプロジェクトでは、NCCoEとその協力者は、市販の技術を使用して、NIST Special Publication (SP) 800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能でオープン、標準ベースのZTA実装を構築しています。このNISTサイバーセキュリティ実践ガイドは、市販の技術を統合し、さまざまなZTAを構築するために使用する方法について説明しています。

 

まずは、Volume C: How-To Guides

20220810-53411

 

Volume C: How-To Guides C巻:ハウツーガイド
Contents  目次 
1  Introduction 1 はじめに
1.1  How to Use this Guide 1.1 このガイドの使い方
1.2  Build Overview 1.2 ビルドの概要
1.2.1  EIG Crawl Phase Build Features 1.2.1 EIGクロールフェーズの構築機能
1.2.2 Physical Architecture Overview 1.2.2 物理アーキテクチャの概要
1.3 Typographic Conventions 1.3 文字種の規則
2  Enterprise 1 Build 1 (EIG E1B1) Product Guides 2 エンタープライズ1 ビルド1 (EIG E1B1) 製品ガイド
2.1  Okta Identity Cloud 2.1 Okta Identity Cloud
2.1.1  Configuration and Integration 2.1.1 構成と統合
2.1.2  Okta Verify App 2.1.2 Okta Verifyアプリ
2.1.3  Okta Access Gateway 2.1.3 Okta Access Gateway
2.2  Radiant Logic RadiantOne 2.2 Radiant Logic RadiantOne
2.2.1  Installation 2.2.1 インストール
2.2.2  Configuration 2.2.2 構成
2.2.3  Integration 2.2.3 統合
2.3  SailPoint IdentityIQ 2.3 SailPoint IdentityIQ
2.3.1  Installation and Configuration 2.3.1 インストールと構成
2.3.2  Integration with Radiant Logic 2.3.2 Radiant Logicとの統合
2.3.3  Integration with AD 2.3.3 AD との統合
2.3.4  Integration with Okta 2.3.4 Oktaとの統合
2.4  Ivanti Neurons for UEM 2.4 Ivanti Neurons for UEM
2.4.1  Installation and Configuration 2.4.1 インストールと構成
2.4.2  Integration with Ivanti Connector 2.4.2 Ivanti Connectorとの統合
2.4.3  Integration with Okta 2.4.3 Oktaとの統合
2.5  Ivanti Sentry 2.5 Ivanti Sentry
2.5.1  Installation and Configuration 2.5.1 インストールと構成
2.5.2  Ivanti Tunnel Configuration and Deployment 2.5.2 Ivanti Tunnelの構成と展開
2.6  Ivanti Access ZSO 2.6 Ivanti Access ZSO
2.6.1  Integration with Ivanti Neurons for UEM 2.6.1 Ivanti Neurons for UEMとの統合
2.6.2  Integration with Okta 2.6.2 Oktaとの統合
2.7  Zimperium Mobile Threat Defense (MTD) 2.7 Zimperium モバイル脅威防御 (MTD)
2.7.1  Installation, Configuration, and Integration 2.7.1 インストール、構成、および統合
2.8  IBM Cloud Pak for Security 2.8 IBM Cloud Pak for Security
2.9  IBM Security QRadar XDR 2.9 IBM セキュリティ QRadar XDR
2.10 Tenable.io 2.10 Tenable.io
2.10.1 Installation and Configuration 2.10.1 インストールと構成
2.10.2 Integration with QRadar 2.10.2 QRadarとの統合
2.11 Tenable.ad 2.11 Tenable.ad
2.12 Mandiant Security Validation (MSV) 2.12 Mandiant Security Validation (MSV)
2.12.1 MSV Director Installation/Configuration 2.12.1 MSV Directorのインストール/構成
2.12.2 MSV Network Actor Installation/Configuration 2.12.2 MSV Network Actor のインストール/構成
2.12.3 MSV Endpoint Actor Installation/Configuration 2.12.3 MSV Endpoint Actor のインストール/構成
2.12.4 MSV Evaluation Configuration 2.12.4 MSV Evaluation の構成
2.12.5 MSV Evaluation Execution 2.12.5 MSV Evaluation の実行
2.13 DigiCert CertCentral 2.13 DigiCert CertCentral
2.14 AWS IaaS 2.14 AWS IaaS
3  Enterprise 3 Build 1 (EIG E3B1) Product Guides 3 エンタープライズ3 ビルド1 (EIG E3B1)製品ガイド
3.1  Microsoft Azure Active Directory (AD) 3.1 Microsoft Azure Active Directory (AD)
3.2  Microsoft Endpoint Manager 3.2 Microsoft Endpoint Manager
3.2.1  Configuration and Integration 3.2.1 構成と統合
3.3  Microsoft Defender for Endpoint 3.3 Microsoft Defender for Endpoint
3.3.1  Configuration and Integration 3.3.1 構成と統合
3.3.2  Microsoft Defender Antivirus 3.3.2 Microsoft Defender アンチウイルス
3.4  Microsoft Sentinel 3.4 Microsoft Sentinel
3.5  F5 BIG-IP 3.5 F5 BIG-IP
3.5.1  Installation, Configuration, and Integration 3.5.1 インストール、構成、統合
3.6  Lookout Mobile Endpoint Security (MES) 3.6 Lookout モバイルエンドポイントセキュリティ(MES)
3.6.1  Configuration and Integration 3.6.1 構成と統合
3.6.2  Create MTD device compliance policy with Intune 3.6.2 IntuneでのMTDデバイスコンプライアンスポリシーの作成
3.7  PC Matic Pro 3.7 PC Matic Pro
3.8  Tenable.io 3.8 Tenable.io
3.8.1  Integration with Microsoft Sentinel 3.8.1 Microsoft Sentinelとの統合
3.9  Tenable.ad 3.9 Tenable.ad
3.10 Mandiant Security Validation (MSV) 3.10 Mandiant Security Validation (MSV) (マンディアント・セキュリティ・バリデーション)
3.11 Forescout eyeSight 3.11 Forescout eyeSight
3.11.1 Integration with AD 3.11.1 ADとの統合
3.11.2 Integration with Cisco Switch 3.11.2 Cisco Switchとの統合
3.11.3 Integration with Cisco Wireless Controller 3.11.3 Ciscoワイヤレスコントローラとの統合
3.11.4 Integration with Microsoft Sentinel 3.11.4 Microsoft Sentinelとの統合
3.11.5 Integration with Palo Alto Networks NGFW 3.11.5 Palo Alto Networks NGFWとの統合
3.11.6 Integration with Tenable.io 3.11.6 Tenable.ioとの統合
3.12 Palo Alto Next Generation Firewall 3.12 Palo Alto Next Generation Firewall
3.13 DigiCert CertCentral 3.13 DigiCert CertCentral
Appendix A List of Acronyms 附属書 A 頭字語リスト

 

 

 

次に、Volume D: Functional Demonstrations

20220810-53417

 

Volume D: Functional Demonstrations D巻:機能デモ
Contents 目次
1 Introduction 1 はじめに
1.1 How to Use this Guide 1.1 このガイドの使用方法
2 Functional Demonstration Playbook 2 機能デモのプレイブック
2.1 Definitions 2.1 定義
2.1.1 Network IDs 2.1.1 ネットワークID
2.1.2 Subject and Requested Resource Types 2.1.2 対象となるリソースと要求されるリソースの種類
2.1.3 Resource and Querying Endpoint Compliance Classification 2.1.3 リソースとクエリのエンドポイント準拠の分類
2.1.4 Desired Outcomes 2.1.4 望ましい結果
2.1.5 Authentication Status 2.1.5 認証ステータス
2.2 General Configurations 2.2 一般的な構成
2.2.1 Access Level 2.2.1 アクセス・レベル
2.2.2 Access Profiles 2.2.2 アクセス・プロファイル
2.2.3 Resources and Capabilities 2.2.3 リソースと能力
2.2.4 User Profiles 2.2.4 ユーザープロファイル
2.3 Demonstration Methodology 2.3 デモの方法論
2.4 Use Case A: Discovery and Identification of IDs, Assets, and Data Flows 2.4 ユースケース A:ID、資産、データフローの発見と識別
2.4.1 Scenario A-1: Discovery and authentication of endpoint assets 2.4.1 シナリオ A-1:エンドポイントアセットの検出と認証
2.4.2 Scenario A-2: Reauthentication of identified assets 2.4.2 シナリオ A-2:識別されたアセットの再認証
2.4.3 Scenario A-3: Discovery of transaction flows 2.4.3 シナリオ A-3:トランザクションフローの発見
2.5 Use Case B: Enterprise ID Access 2.5 ユースケース B:企業 ID アクセス
2.5.1 Scenario B-1: Full/limited resource access using an enterprise endpoint 2.5.1 シナリオ B-1:エンタープライズエンドポイントの使用 - 完全/限定的なリソースアクセス
2.5.2 Scenario B-2: Full/limited internet access using an enterprise endpoint 2.5.2 シナリオ B-2:エンタープライズエンドポイントの使用 - 完全/限定的なインターネットアクセス
2.5.3 Scenario B-3: Stolen credential using an enterprise endpoint 2.5.3 シナリオ B-3:エンタープライズエンドポイントの使用 - 盗まれたクレデンシャル
2.5.4 Scenario B-4: Full/limited resource access using BYOD 2.5.4 シナリオ B-4:BYODの使用 - 完全/限定的なリソースアクセス
2.5.5 Scenario B-5: Full/limited internet access using BYOD 2.5.5 シナリオ B-5:BYODの使用 - 完全/限定的なインターネットアクセス
2.5.6 Scenario B-6: Stolen credential using BYOD 2.5.6 シナリオ B-6:BYODの使用 - 盗まれたクレデンシャル
2.6 Use Case C: Collaboration: Federated-ID Access 2.6 ユースケース C:コラボレーション:フェデレート ID アクセス
2.6.1 Scenario C-1: Full resource access using an enterprise endpoint 2.6.1 シナリオ C-1:エンタープライズエンドポイントの使用 - 完全なリソースアクセス
2.6.2 Scenario C-2: Limited resource access using an enterprise endpoint 2.6.2 シナリオ C-2:エンタープライズエンドポイントの使用 - 限定的なリソースアクセス
2.6.3 Scenario C-3: Limited internet access using an enterprise endpoint 2.6.3 シナリオ C-3:エンタープライズエンドポイントの使用 - 限定的なインターネットアクセス
2.6.4 Scenario C-4: No internet access using an enterprise endpoint 2.6.4 シナリオ C-4:エンタープライズエンドポイントの使用 - インターネットアクセスなし
2.6.5 Scenario C-5: Internet access using BYOD 2.6.5 シナリオ C-5:BYODを使用したインターネットアクセス
2.6.6 Scenario C-6: Access resources using BYOD 2.6.6 シナリオ C-6:BYODを使用したリソースアクセス
2.6.7 Scenario C-7: Stolen credential using an enterprise endpoint 2.6.7 シナリオ C-7:エンタープライズエンドポイントの使用 - 盗まれたクレデンシャル
2.6.8 Scenario C-8: Stolen credential using BYOD 2.6.8 シナリオ C-8:BYODの使用 - 盗まれたクレデンシャル
2.7 Use Case D: Other-ID Access 2.7 ユースケース D:他の ID アクセス
2.7.1 Scenario D-1: Full/limited resource access using an enterprise endpoint 2.7.1 シナリオ D-1:エンタープライズ・エンドポイントの使用 - 完全/限定リソース・アクセス
2.7.2 Scenario D-2: Full/limited internet access using an enterprise endpoint 2.7.2 シナリオ D-2:エンタープライズ・エンドポイントの使用 - 完全/限定的なインターネット・アクセス
2.7.3 Scenario D-3: Stolen credential using BYOD or enterprise endpoint 2.7.3 シナリオ D-3:BYODまたはエンタープライズエンドポイントの使用 - 盗難クレデンシャル
2.7.4 Scenario D-4: Full/limited resource access using BYOD 2.7.4 シナリオ D-4:BYOD の使用 - 完全/限定的なリソース・アクセス
2.7.5 Scenario D-5: Full/limited internet access using BYOD 2.7.5 シナリオ D-5:BYODの使用 - 完全/限定的なインターネット・アクセス
2.7.6 Scenario D-6: Stolen credential using BYOD 2.7.6 シナリオ D-6:BYOD の使用 - 盗まれたクレデンシャル
2.8 Use Case E: Guest: No-ID Access 2.8 ユースケース E:ゲスト - ID なしアクセス
2.8.1 Scenario E-1: Guest requests public internet access 2.8.1 シナリオ E-1:ゲスト - 公共インターネットアクセス要求
2.9 Use Case F: Confidence Level 2.9 ユースケース F:信頼性レベル
2.9.1 Scenario F-1: User reauthentication fails during active session 2.9.1 シナリオ F-1:アクティブ・セッション中のユーザ再認証の失敗
2.9.2 Scenario F-2: Requesting endpoint reauthentication fails during active session 2.9.2 シナリオ F-2:アクティブ・セッション中のエンドポイント再認証要求の失敗
2.9.3 Scenario F-3: Resource reauthentication fails during active session 2.9.3 シナリオ F-3:アクティブセッション中のリソース再認証の失敗
2.9.4 Scenario F-4: Compliance fails during active session 2.9.4 シナリオ F-4:アクティブセッション中のコンプライアンスの失敗
2.9.5 Scenario F-5: Compliance improves between requests 2.9.5 シナリオ F-5:リクエスト間のコンプライアンスの改善
3 Functional Demonstration Results 3 機能的なデモの結果
3.1 EIG Crawl Phase Demonstration Results 3.1 EIG クロールフェーズの実証結果
3.1.1 Enterprise 1 Build 1 (E1B1) Demonstration Results 3.1.1 エンタープライズ1 ビルド1 (E1B1) の実証結果
3.1.2 Enterprise 2 Build 1 (E2B1) Demonstration Results 3.1.2 エンタープライズ2 ビルド1 (E2B1) の実証結果
3.1.3 Enterprise 3 Build 1 (E3B1) Demonstration Results 3.1.3 エンタープライズ3 ビルド1 (E3B1) の実証結果
3.1.4 Enterprise 4 Build 1 (E4B1) Demonstration Results 3.1.4 エンタープライズ4 ビルド1 (E4B1) の実証結果
Appendix A List of Acronyms 附属書A 頭字語リスト
Appendix B References 附属書B 参考文献

 

NISTの参考情報

Supplemental Material:

・[PDF] NIST SP 1800-35D iprd

・[PDF] NIST SP 1800-35C iprd

・[PDF] NIST SP 1800-35B iprd

・[PDF] NIST SP 1800-35A iprd

・[WEB] Project homepage

 

協力企業24社のリスト

  1. Appgate
  2. AWS
  3. Broadcom Software
  4. Cisco
  5. DigiCert
  6. F5
  7. Forescout
  8. Google Cloud
  9. IBM
  10. Ivanti
  11. Lookout
  12. Mandiant
  13. Microsoft
  14. Okta
  15. Palo Alto Networks
  16. PC Matic
  17. Ping Identity
  18. Radiant Logic
  19. SailPoint
  20. Tenable
  21. Trellix
  22. VMware
  23. Zimperium
  24. Zscaler

 

NCCoE

・2022.06.03 The Zero Trust Architecture (ZTA) Team Releases Preliminary Draft Practice Guide (Vol A)

 


 

まるちゃんの情報セキュリティ気まぐれ日記

SP 1800-35関係

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

米国のZero Trust関係

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

・2022.04.08 NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2022.03.28 米国 上院 S.3894 - 継続的診断・軽減 (CDM) を通じたサイバーセキュリティの推進に関する法律案

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.05.28 CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

・2020.04.01 NIST White Paper [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise

・2020.04.02 NIST White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

 

|

« 経済安全保障関係 「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について(報告)」のサイバーセキュリティ関係... | Main | CISA アラート(AA22-216A) & ACSC 2021年のトップマルウェア株 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経済安全保障関係 「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について(報告)」のサイバーセキュリティ関係... | Main | CISA アラート(AA22-216A) & ACSC 2021年のトップマルウェア株 »