NIST NISTIR 8320D(ドラフト)ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング
こんにちは、丸山満彦です。
NISTがハードウェア対応セキュリティに関する内部報告 (IR) のドラフトを公表し、意見募集をしていますね。。。 DX時代...とかで、ネットワークに接続する機器等が増えるとマシンIDが増えていきますので、その管理が重要となってきますね。。。
● NIST - ITL
・2023.02.23 Hardware Enabled Security: Draft NIST IR 8320D Available for Comment
Hardware Enabled Security: Draft NIST IR 8320D Available for Comment | ハードウェアで実現するセキュリティ。NIST IR 8320D ドラフト版 コメント受付中 |
The National Cybersecurity Center of Excellence (NCCoE) has released a draft report, NIST Interagency Report (NISTIR) 8320D, Hardware Enabled Security: Hardware-Based Confidential Computing, for public comment. NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies. | 国家サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) は、ドラフト報告書「NIST内部報告 (NISTIR) 8320D ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング」を公開し、パブリックコメントを募集している。NISTIR 8320Dは、ハードウェアを利用したセキュリティ技術に関する一連の報告書の最新版である。 |
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. | 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万に及ぶこともある。暗号鍵などのマシンIDは、各マシンに適用する必要のあるポリシーを特定するために使用することができる。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。 |
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. | この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。 |
・2023.02.23 NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing
NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing | NISTIR 8320D(ドラフト)ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング |
Announcement | 発表 |
NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies. | NISTIR 8320Dは、ハードウェア対応のセキュリティ技術およびテクノロジーに関する一連の報告書の最新版である。 |
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. | 組織で使用されるマシンIDの数は増え続けており、1つの組織で数千から数百万に及ぶこともある。マシンIDは、秘密の暗号鍵など、各マシンに適用する必要のあるポリシーを特定するために使用されることがある。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。 |
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. | この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般のセキュリティコミュニティが、この実装を検証し利用するための青写真またはテンプレートとなることを意図している。 |
Abstract | 概要 |
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. | 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもある。暗号鍵のようなマシンIDは、各マシンに適用されるべきポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。 |
・[PDF] NISTIR 8320D (Draft)
目次...
1. Introduction | 1. 序文 |
1.1. Purpose and Scope | 1.1. 目的及び範囲 |
1.2. Terminology | 1.2. 用語の説明 |
1.3. Document Structure | 1.3. 文書の構成 |
2. Challenges with Creating, Managing, and Protecting Machine Identities | 2. マシンアイデンティティの作成、管理、保護に関する問題点 |
3. Stage 0: Enterprise Machine Identity Management | 3. ステージ0:エンタープライズ・マシンアイデンティティ管理 |
4. Stage 1: Secret Key In-Use Protection with Hardware-Based ConfidentialComputing | 4. ステージ1:ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユース・プロテクション |
5. Stage 2: Machine Identity Management and End-to-End Protection | 5. ステージ 2: マシンアイデンティティ管理とエンド・ツー・エンド保護 |
References | 参考文献 |
Appendix A. Hardware Architecture | 附属書A. ハードウェア・アーキテクチャ |
Appendix B. AMI TruE Machine Identity Management Implementation | 附属書B. AMI TruEマシンアイデンティティ・マネジメントの実装 |
B.1. Hardware and Software Requirements | B.1. ハードウェアおよびソフトウェアの要件 |
B.2. AMI TruE Deployment | B.2. AMI TruEのデプロイメント |
B.3. Platform Security Services Configuration | B.3. プラットフォーム・セキュリティ・サービスの構成 |
B.4. Uninstallation | B.4. アンインストール |
Appendix C. Intel In-Use Secret Key Protection Implementation | 附属書C. インテル® In-Use Secret Key Protection の実装 |
Appendix D. Machine Identity Runtime Protection and Confidential Computing Integration | 附属書D. マシンアイデンティティ・ランタイム・プロテクションとコンフィデンシャル・コンピューティングの統合 |
D.1. Solution Overview | D.1. ソリューションの概要 |
D.2. Solution Architecture | D.2. ソリューションのアーキテクチャ |
D.3. Installation and Configuration | D.3. インストールと構成 |
Appendix E. Acronyms and Other Abbreviations | 附属書E. 頭字語およびその他の略語 |
「2. Challenges with Creating, Managing, and Protecting Machine Identities」から...
The ultimate goal is to be able to use “trust” as a boundary for hardware-based confidential computing to protect in-use machine identities. This goal is dependent on smaller prerequisite goals described as stages, which can be thought of as requirements that the solution must meet. | 最終的な目標は、ハードウェアベースのコンフィデンシャル・コンピューティングの境界として「信頼」を使用し、使用中のマシンIDを保護できるようにすることである。このゴールは、ステージとして記述されたより小さな前提条件のゴールに依存しており、これはソリューションが満たすべき要件と考えることができる。 |
• Stage 0: Enterprise Machine Identity Management. Security and automation for all machine identities in the organization should be a priority. A proper, enterprise-wide machine identity management strategy enables security teams to keep up with the rapid growth of machine identities, while also allowing the organization to keep scaling securely. The key components of a typical enterprise-grade machine identity management solution are described in Sec. 3. | ・ステージ 0: エンタープライズ・マシンアイデンティティ管理。組織内のすべてのマシンIDのセキュリティと自動化は、優先事項であるべきである。適切なエンタープライズ規模のマシンID管理戦略は、セキュリティチームがマシンIDの急速な増加に対応し、同時に組織が安全に拡張し続けることを可能にする。一般的なエンタープライズグレードのマシンID管理ソリューションの主要コンポーネントは、セクション3に記載されている。 |
• Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing. The confidential computing paradigm can be used to protect secret keys inuse in dynamic environments. Section 4 describes the primary components of a hardware-based confidential computing environment and illustrates a reference architecture demonstrating how its components interact. | ・ステージ1:ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユースプロテクション。機密コンピューティングのパラダイムは、動的環境における使用中の秘密鍵の保護に使用できる。セクション4では、ハードウェアベースの機密コンピューティング環境の主要コンポーネントについて説明し、そのコンポーネントがどのように相互作用するかを示す参照アーキテクチャを図解している。 |
• Stage 2: Machine Identity Management and End-to-End Protection. Stage 0 discusses how a machine identity can be managed and Stage 1 describes how sensitive information is protected in use in conjunction with hardware-based confidential computing. Stage 2 is about the integration of the two so that machine identity management enables the prerequisites for confidential computing to be leveraged when the secret key is used at runtime. Section 5 describes how these components can be composed together to provide end-to-end protection for machine identities. | ・ステージ2:マシンIDの管理とエンドツーエンドの保護。ステージ0では、マシンIDの管理方法について説明し、ステージ1では、ハードウェアベースの機密コンピューティングと連携して使用する際に機密情報を保護する方法について説明する。ステージ2は、マシンID管理によって、秘密鍵がランタイムに使用される際に機密コンピューティングの前提条件を活用できるように、この2つを統合することを目的としている。セクション5では、これらのコンポーネントを組み合わせて、マシンIDのエンドツーエンドの保護を実現する方法について説明する。 |
Utilizing hardware-enabled security features, the prototype in this document strives to provide the following capabilities: | ハードウェアで実現されるセキュリティ機能を活用し、この報告書のプロトタイプは以下の機能を提供するよう努める。 |
• Centralized control and visibility of all machine identities | ・すべてのマシンIDの一元的な制御と可視性 |
• Machine identities as secure as possible in all major states: at rest, in transit, and in use in random access memory (RAM) | ・マシン ID は、静止状態、転送中、ランダムアクセスメモリー(RAM)上で使用中のすべての主要な状態において、可能な限り安全であること。 |
• Strong access control for different types of machine identities in the software development lifecycle and DevOps pipeline | ・ソフトウェア開発ライフサイクルおよびDevOpsパイプラインにおける、さまざまなタイプのマシンIDに対する強力なアクセス制御 |
• Machine identity deployment and use in DevOps processes, striving to be as secure as possible | ・DevOpsプロセスにおけるマシンIDの展開と使用は、可能な限り安全であるように努力する。 |
関係文書
ハードウェア対応セキュリティ:
・NISTIR 8320 クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
・NISTIR 8320A コンテナ・プラットフォーム・セキュリティ・プロトタイプ
・NISTIR 8320B 信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
・NISTIR 8320C (Draft) マシン・アイデンティティの管理と保護
・NISTIR 8320D (Draft) ハードウェアベース・コンフィデンシャル・コンピューティング
まるちゃんの情報セキュリティ気まぐれ日記
・2022.05.07 NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド
・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護
・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)
・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド
・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ
・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集
Comments