NIST SP 800-207A マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル
こんにちは、丸山満彦です。
マルチクラウドあるいはハイブリッド環境の ゼロトラスト・アーキテクチャのランタイム要件を満たしながら、きめ細かいアプリケーションレベルのポリシーを適用できるアーキテクチャを実現するためのガイダンス。。。
● NIST - ITL
| NIST SP 800-207A A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments | マルチクラウド環境におけるクラウドネイティブアプリケーションのアクセス制御のためのゼロトラストアーキテクチャモデル |
| Abstract | 概要 |
| One of the basic tenets of zero trust is to remove the implicit trust in users, services, and devices based only on their network location, affiliation, and ownership. NIST Special Publication 800-207 has laid out a comprehensive set of zero trust principles and referenced zero trust architectures (ZTA) for turning those concepts into reality. A key paradigm shift in ZTAs is the change in focus from security controls based on segmentation and isolation using network parameters (e.g., Internet Protocol (IP) addresses, subnets, perimeter) to identities. From an application security point of view, this requires authentication and authorization policies based on application and service identities in addition to the underlying network parameters and user identities. This in turn requires a platform that consists of Application Programming Interface (API) gateways, sidecar proxies, and application identity infrastructures (e.g., Secure Production Identity Framework for Everyone [SPIFFE]) that can enforce those policies irrespective of the location of the services or applications, whether on-premises or on multiple clouds. The objective of this publication is to provide guidance for realizing an architecture that can enforce granular application-level policies while meeting the runtime requirements of ZTA for multi-cloud and hybrid environments. | ゼロトラストの基本的な考え方の1つは、ネットワークの場所、所属、所有権のみに基づくユーザー、トラストサービス、デバイスに対する暗黙の信頼を取り除くことである。NIST特別刊行物800-207は、ゼロトラストの包括的な原則を示し、これらの概念を現実にするためのゼロトラストアーキテクチャ(ZTA)を参照している。ZTAにおける重要なパラダイム・シフトは、ネットワーク・パラメータ(例えば、インターネット・プロトコル(IP)アドレス、サブネット、境界)を使用したセグメンテーションと分離に基づくセキュリティ管理から、アイデンティティへの焦点の変更である。アプリケーション・セキュリティの観点からは、基礎となるネットワーク・パラメータとユーザ・アイデンティティに加えて、アプリケーションとサービスのアイデンティティに基づく認証と承認のポリシーが必要となる。そのためには、アプリケーション・プログラミング・インタフェース(API)ゲートウェイ、サイドカー・プロキシ、およびアプリケーションIDインフラストラクチャ(Secure Production Identity Framework for Everyone [SPIFFE]など)で構成され、オンプレミスまたは複数のクラウド上など、サービスやアプリケーションの場所に関係なくポリシーを適用できるプラットフォームが必要である。本書の目的は、マルチクラウドおよびハイブリッド環境の ZTA のランタイム要件を満たしながら、きめ細かいアプリケーショ ンレベルのポリシーを適用できるアーキテクチャを実現するためのガイダンスを提供することである。 |
・[PDF] NIST.SP.800-207A
・[DOCX] 仮訳
目次...
| Executive Summary | エグゼクティブ・サマリー |
| 1. Introduction | 1. はじめに |
| 1.1. Background — Zero Trust Principles and Zero Trust Architecture | 1.1. 背景 - ゼロトラスト原則とゼロトラスト・アーキテクチャ |
| 1.2. Relationship to Other NIST Guidance Documents | 1.2. 他のNISTガイダンス文書との関係 |
| 1.3. Scope | 1.3. 適用範囲 |
| 1.4. Target Audience | 1.4. 想定読者 |
| 1.5. Organization of This Document | 1.5. 本文書の構成 |
| 2. The Enterprise Cloud-Native Platform and its Components | 2. エンタープライズ・クラウドネイティブ・プラットフォームとそのコンポーネント |
| 2.1. Enterprise Infrastructure Layer | 2.1. 企業インフラ層 |
| 3. Designing a Policy Framework for ZTA for Cloud-Native Application Environments | 3. クラウドネイティブアプリケーション環境におけるZTAのポリシーフレームワークの設計 |
| 3.1. Requirements for Identity-Based Segmentation Policies for ZTA | 3.1. ZTAのアイデンティティ・ベースのセグメンテーションポリシーの要件 |
| 3.2. Limitations of Identity-Based Segmentation Policies for Enterprise ZTA | 3.2. エンタープライズZTAにおけるアイデンティティ・ベースのセグメンテーションポリシーの限界 |
| 3.3. Multi-Tier Policies for Enterprise ZTA | 3.3. エンタープライズZTAの多層ポリシー |
| 4. Implementing Multi-Tier Policies for ZTA for Cloud-Native Application Environments | 4. クラウド・ネイティブ・アプリケーション環境におけるZTAの多層ポリシーの実装 |
| 4.1. Reference Application Infrastructure Scenario | 4.1. 参考アプリケーション・インフラ・シナリオ |
| 4.2. Role of the Service Mesh in Policy Deployment, Enforcement, and Updates | 4.2. ポリシーの展開、実施、更新におけるサービスメッシュの役割 |
| 4.3. Policy Deployment for Reference Application Infrastructure | 4.3. リファレンス・アプリケーション・インフラストラクチャーのポリシー展開 |
| 4.4. Another Application Infrastructure Scenario | 4.4. もうひとつのアプリケーション・インフラ・シナリオ |
| 4.5. Functional Roles of Application Infrastructure Elements in Enforcing Policies | 4.5. ポリシーの実施におけるアプリケーション基盤要素の機能的役割 |
| 4.6. Comparison of Identity-Tier and Network-Tier Policies | 4.6. アイデンティ層とネットワーク層のポリシーの比較 |
| 4.6.1. Approaches for Deployment and the Limitations of Network-Tier Policies | 4.6.1. 展開のアプローチとネットワーク階層ポリシーの限界 |
| 4.6.2. Prerequisites for the Deployment of Identity-Tier Policies | 4.6.2. アイデンティティ層ポリシーの展開の前提条件 |
| 4.6.3. Advantages of Identity-Tier Policies | 4.6.3. アイデンティティ層ポリシーの利点 |
| 5. Support for Multi-tier Policies Through a Monitoring Framework | 5. モニタリングフレームワークによる多層ポリシーのサポート |
| 6. Summary and Conclusions | 6. まとめと結論 |
| References | 参考文献 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブ・サマリー |
| The principles of zero trust, as described in NIST Special Publication (SP) 800-207, have become the guiding markers for developing secure zero trust architecture. A well-established class of applications is the cloud-native application class. The generally accepted characterization of a cloud-native application includes the following: | NIST 特別刊行物(SP)800-207に記載されているゼロトラストの原則は、安全なゼロトラスト・アーキテクチャを開発するための指針となっている。確立されたアプリケーションのクラスに、クラウドネイティブアプリケーションクラスがある。一般に受け入れられているクラウドネイティブアプリケーションの特徴には、次のようなものがある: |
| • The application is made up of a set of loosely coupled components called microservices. Each of the microservices can be hosted on different physical or virtual machines (VMs) and even be geographically distributed (e.g., within several facilities that belong to the enterprise, such as the headquarters, branch offices, and in various cloud service provider environments). | • アプリケーションは、マイクロサービスと呼ばれる疎結合コンポーネントの集合で構成される。各マイクロサービスは、異なる物理マシンまたは仮想マシン(VM)上でホストすることができ、さらに地理的に分散させることもできる(例えば、本社、支社、様々なクラウドサービスプロバイダー環境など、企業に属する複数の施設内)。 |
| • Any transaction involving the application may also involve one or more inter-service (microservice) calls across the network. | • アプリケーションが関与するトランザクションには、ネットワークを介した1つ以上のサービス間(マイクロサービス)呼び出しも含まれる可能性がある。 |
| • A widespread feature (though not necessarily a requirement for cloud-native applications) is the presence of a software platform called the service mesh that provides an integrated set of all application services (e.g., services discovery, networking connections, communication resilience, and security services like authentication and authorization). | • クラウド・ネイティブ・アプリケーションの要件とは限らないが)広く普及している特徴は、すべてのアプリケーション・サービス(サービス・ディスカバリー、ネットワーク接続、通信回復力、認証や認可などのセキュリティ・サービスなど)の統合セットを提供するサービス・メッシュと呼ばれるソフトウェア・プラットフォームの存在だ。 |
| The realization of a zero trust architecture for the above class of cloud-native applications requires a robust policy framework. In order to follow zero trust principles, the constituent polices in the framework should consider the following scenario: | 上記のようなクラウドネイティブアプリケーションのためのゼロトラストアーキテクチャを実現するには、強固なポリシーフレームワークが必要である。ゼロトラストの原則に従うために、フレームワークの構成ポリシーは以下のシナリオを考慮する必要がある: |
| • There should not be implicit trust in users, services, or devices based exclusively on their network location, affiliation, or ownership. Hence, policy definitions and associated security controls based on the segmentation or isolation of networks using network parameters (e.g., IP addresses, subnets, perimeter) are insufficient. These policies fall under the classification of network-tier policies. | • ネットワークの場所、所属、所有権のみに基づくユーザー、サービス、デバイスに対する暗黙の信頼があってはならない。したがって、ネットワーク・パラメータ(例えば、IP アドレス、サブネット、境界)を使用したネットワークのセグメンテーションや分離に基づくポリシー定義や関連するセキュリティ制御は不十分である。これらのポリシーは、ネットワーク階層ポリシーの分類に入る。 |
| • To ensure the presence of zero trust principles throughout the entire application, networktier policies must be augmented with policies that establish trust in the identity of the various participating entities (e.g., users and services) irrespective of the location of the services or applications, whether on-premises or on multiple clouds. | • アプリケーション全体を通してゼロトラスト原則の存在を保証するために、ネットワーク層のポリシーは、オンプレミスであろうと複数のクラウド上であろうと、サービスやアプリケーションの場所に関係なく、様々な参加エンティティ(ユーザーやサービスなど)のアイデンティティに対する信頼を確立するポリシーで補強されなければならない。 |
| This document provides guidance for realizing a zero trust architecture that can enforce granular application-level policies for cloud-native applications. The guidance is anchored in the following: | 本文書は、クラウドネイティブなアプリケーションに対してきめ細かいアプリケーションレベルのポリシーを適用できるゼロトラスト・アーキテクチャを実現するためのガイダンスを提供する。このガイダンスは、以下の点に重点を置いている: |
| • A combination of network-tier and identity-tier policies | • ネットワーク層とアイデンティ層のポリシーの組み合わせ |
| • The components of cloud-native applications that enable the definition and deployment of those policies, such as edge, ingress, sidecar, and egress gateways; the creation, issuance, and maintenance of service identities; and the issuance of authentication and authorization tokens that carry user identities in the enterprise application infrastructure that encompasses multi-cloud and hybrid environments | • エッジ、侵入、サイドカー、エグレスゲートウェイなどのポリシーの定義と展開を可能にするクラウドネイティブアプリケーションのコンポーネント、サービスIDの作成、発行、維持、マルチクラウドやハイブリッド環境を包含するエンタープライズアプリケーションインフラストラクチャのユーザーIDを伝送する認証および承認トークンの発行。 |
● まるちゃんの情報セキュリティ気まぐれ日記
800-207他
・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル
・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。
・2020.08.14 NIST SP 800-207 Zero Trust Architecture
・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)
1800-35...
・2023.09.16 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.E リスクとコンプライアンスマネジメント
・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ
・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)
・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)
・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)
・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)
その他...
・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」
・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド
・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)
・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル
・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表
・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス
Comments