NIST SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイド

こんにちは、丸山満彦です。

NISTが、SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイドを公表していますね。。。

・マルチクラウド環境

・地理期的に広がった事業所

・疎結合のマイクロサービスへの移行

などをふまえて・・・ということですかね。。。

 

今後のネットワーク・アーキテクチャを考える上で参考になりそうですね。。。

 

● NIST - ITL

・2022.11.17 SP 800-215 Guide to a Secure Enterprise Network Landscape

 

SP 800-215 Guide to a Secure Enterprise Network Landscape	SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイ
Abstract	概要
Access to multiple cloud services, the geographic spread of enterprise Information Technology (IT) resources (including multiple data centers), and the emergence of microservices-based applications (as opposed to monolithic ones) have significantly altered the enterprise network landscape. This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. Hence, it starts by examining the security limitations of current network access solutions to the enterprise network. It then considers security feature enhancements to traditional network appliances in the form of point security solutions, network configurations for various security functions (e.g., application/services security, cloud services access security, device or endpoint security), security frameworks that integrate these individual network configurations (e.g., zero trust network access [ZTNA]), and the evolving wide area network (WAN) infrastructure to provide a comprehensive set of security services for the modern enterprise network landscape (e.g., secure access service edge [SASE]).	複数のクラウドサービスへのアクセス、エンタープライズの情報技術（IT）リソースの地理的な広がり（複数のデータセンターを含む）、マイクロサービスベースのアプリケーションの出現（モノリシックなものとは対照的）により、エンタープライズ・ネットワークの状況は大きく変化している。本書は、この新しいエンタープライズ・ネットワークの状況に対して、安全な運用の観点からガイダンスを提供することを目的としている。そのため、まず、現在のエンタープライズ・ネットワークへのネットワークアクセスソリューションのセキュリティ上の制限を検証する。次に、ポイントセキュリティソリューションという形で従来のネットワーク機器に追加されたセキュリティ機能、さまざまなセキュリティ機能（アプリケーション/サービスセキュリティ、クラウドサービスアクセスセキュリティ、デバイスまたはエンドポイントセキュリティなど）のためのネットワーク構成、これらの個々のネットワーク構成を統合するセキュリティフレームワーク（ZTNAなど）、現代のエンタープライズ・ネットワークの状況に対応したセキュリティサービスの総合セット（SASEなど）を提供する進化型WAN（ワイドエリアネットワーク）インフラについて考察している。

 

・[PDF] SP 800-215

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. はじめに
1.1. Structural Implications of Drivers on the Enterprise Network Landscape	1.1. ドライバがエンタープライズ・ネットワークに与える構造的影響
1.2. Security Implications of Drivers on the Enterprise Network Landscape	1.2. エンタープライズ・ネットワークにおけるドライバのセキュリティへの影響
1.3. The Need for a Security Guide	1.3. セキュリティガイドの必要性
1.4. Scope	1.4. 適用範囲
1.5. Target Audience	1.5. 対象読者
1.6. Organization of This Document	1.6. 本書の構成
2. Traditional Enterprise Network Access Approaches and Their Limitations	2. 従来のエンタープライズ・ネットワークアクセスのアプローチとその限界
2.1. Limitations of Network Perimeter-based Protections	2.1. ネットワーク境界ベース防御の限界
2.2. Limitations of VPN-based Access	2.2. VPN ベースアクセスの限界
2.3. Limitation of MPLS Technology as Enterprise WANs	2.3. エンタープライズWANとしてのMPLS技術の限界
2.4. Limitation of Authentication Infrastructure	2.4. 認証基盤の限界
3. Network Security Appliances in the Enterprise Network Landscape	3. エンタープライズ・ネットワークにおけるネットワークセキュリティ・アプライアンス
3.1. Cloud Access Security Broker (CASB)	3.1. クラウド・アクセス・セキュリティ・ブローカー(CASB)
3.2. Enhanced Firewall Capabilities	3.2. 強化されたファイアウォール機能
3.3. Appliance-set with Integrated Functions	3.3. 機能統合型アプライアンスセット
3.4. Network Security Automation Tools	3.4. ネットワークセキュリティ自動化ツール
3.4.1. Network Monitoring and Observability Tools	3.4.1. ネットワーク監視・観測可能ツール
3.4.2. Automated Network Provisioning Tools	3.4.2. ネットワーク自動化プロビジョニングツール
3.5. Networking Appliances as Services	3.5. サービスとしてのネットワーク・アプライアンス
4. Network Configurations for Basic Security Functions	4. 基本的なセキュリティ機能のためのネットワーク構成
4.1. Conceptual Underpinning – Contextual Information	4.1. 概念的基盤 ・コンテキスト情報
4.2. Network Configuration for Device Management	4.2. 機器管理のためのネットワーク構成
4.3. Network Configuration for User Authentication	4.3. ユーザー認証のためのネットワーク構成
4.4. Network Configuration for Device Authentication and Health Monitoring	4.4. 機器認証とヘルスモニタリングのためのネットワーク構成
4.5. Network Configuration for Authorizing Application/Service Access	4.5. アプリケーション／サービスへのアクセスを許可するためのネットワーク構成
4.6. Network Configurations for Preventing Attack Escalation	4.6. 攻撃のエスカレーションを防止するためのネットワーク構成
5. Enterprise-Wide Network Security Framework – Zero Trust Network Access (ZTNA)	5. エンタープライズ全体のネットワークセキュリティ・フレームワーク – ゼロトラスト・ネットワーク・アクセス (ZTNA)
5.1. Microsegmentation	5.1. マイクロセグメンテーション
5.1.1. Prerequisites for Implementing Microsegmentation	5.1.1. マイクロセグメンテーションを実装するための前提条件
5.1.2. Microsegmentation – Implementation Approaches	5.1.2. マイクロセグメンテーション ・実装のアプローチ
5.2. Software-defined Perimeter (SDP)	5.2. ソフトウェア定義境界(SDP)
6. Secure Wide Area Network Infrastructure for an Enterprise Network	6. エンタープライズ・ネットワークにおけるセキュアな広域ネットワーク基盤
6.1. Common Requirements for a Secure SD-WAN	6.1. セキュアなSD-WANの共通要件
6.2. Specific Requirements for SD-WANs for Cloud Access	6.2. クラウドアクセスのためのSD-WANの具体的な要件
6.3. Requirements for an Integrated Security Services Architecture for SD-WAN	6.3. SD-WANのための統合セキュリティサービスアーキテクチャの要件
7. Summary and Conclusions	7. まとめと結論
References	参考文献

 

エグゼクティブ・サマリー...

Executive Summary	エグゼクティブサマリー
The enterprise network landscape has undergone tremendous changes in the last decade due to the following three drivers:	エンタープライズ・ネットワークの状況は、以下の3つの推進要因によって、この10年で大きく変化している。
・Enterprise access to multiple cloud services,	・エンタープライズが複数のクラウドサービスにアクセスできるようになったこと。
・The geographical spread of enterprise-based (on-premises) IT resources (e.g., multiple data centers, headquarters, and branch offices), and	・エンタープライズベースのITリソース（オンプレミス）の地理的な広がり（複数のデータセンター、本社、支店など）。
・Changes to application architecture from being monolithic to a set of loosely coupled microservices.	・アプリケーションのアーキテクチャが、モノリシックから疎結合のマイクロサービスへと変化すること。
The impacts of these drivers on the security of the enterprise network landscape include:	これらの推進要因が、エンタープライズのネットワーク環境のセキュリティに与える影響には、次のようなものがある。
・Disappearance of the concept of a network perimeter that can be protected and the necessity to protect each endpoint (device or service) that treats it as a perimeter	・ネットワークの境界を保護するという概念の消滅と、境界として扱う各エンドポイント（デバイスやサービス）を保護する必要性
・Increase in attack surface due to sheer multiplicity of IT resources (computing, networking, storage) and components	・ITリソース（コンピューティング、ネットワーク、ストレージ）およびコンポーネントの多重化による攻撃対象の増加
・Escalation of attacks across several network boundaries leveraging the connectivity features	・接続機能を利用した複数のネットワーク境界をまたぐ攻撃のエスカレーション
This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. The adopted methodology first considers the security challenges that the new network landscape poses and examines the limitations of current network access technologies. It then shows how solutions for meeting the challenges have evolved from being security function-specific to a security framework to a comprehensive security infrastructure that provides a holistic set of security services. Specific areas addressed include:	本書は、このような新しいエンタープライズ・ネットワークの状況に対して、安全な運用の観点からガイダンスを提供することを意図している。採用した手法は、まず、新しいネットワーク環境がもたらすセキュリティ上の課題を検討し、現在のネットワークアクセス技術の限界を調べる。そして、この課題に対応するためのソリューションが、セキュリティ機能に特化したものから、セキュリティフレームワーク、包括的なセキュリティサービスのセットを提供する包括的なセキュリティインフラへと進化していることを示す。具体的な内容は以下の通りである。
・Feature enhancements to traditional network security appliances	・従来のネットワークセキュリティ・アプライアンスの機能強化
・Secure enterprise networking configurations for specific security functions	・特定のセキュリティ機能に特化したセキュアなエンタープライズ・ネットワーク構成
・Security frameworks that integrate individual network configurations	・個々のネットワーク構成を統合するセキュリティフレームワーク
・Evolving wide area network (WAN) infrastructure that provides a comprehensive set of security services	・包括的なセキュリティサービスを提供する進化したWAN（Wide Area Network）インフラストラクチャ
Based on the drivers outlined above, an enterprise network in the context of this document encompasses the following:	本書でいうエンタープライズ・ネットワークとは、上記の推進要因に基づき、次のようなものを指する。
・The private virtual networks that the enterprise (cloud services subscriber) configures in the cloud service provider’s native network within which its compute resources will be provisioned (e.g., virtual network [VNet], virtual private cloud [VPC])	・エンタープライズ（クラウドサービス利用者）がクラウドサービスプロバイダーのネイティブネットワークに設定するプライベート仮想ネットワークで、その中で計算リソースがプロビジョニングされる（例：仮想ネットワーク（VNet）、仮想プライベートクラウド（VPC））。
・Various local networks on enterprise premises (e.g., enterprise data centers, headquarters, and branch offices)	・エンタープライズ敷地内の各種ローカルネットワーク(エンタープライズのデータセンター、本社、支社など)
・The portion of a wide area network that is used by the enterprise to connect its various geographically dispersed locations and cloud service access points	・エンタープライズが地理的に分散した様々な拠点とクラウドサービスのアクセスポイントを接続するために使用する広域ネットワークの部分

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.06 NIST SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイド