米国 NIST 意見募集 SP 1800-37（第2次初期ドラフト） エンタープライズにおけるTLS 1.3による可視性の課題への対応

こんにちは、丸山満彦です。

NISTが、SP 1800-37（第2次初期ドラフト） エンタープライズにおけるTLS 1.3による可視性の課題への対応について、意見募集をしております。。。

 

NIST SP 1800-37 (2nd Preliminary Draft) Addressing Visibility Challenges with TLS 1.3 within the Enterprise	NIST SP 1800-37（第2次初期ドラフト） エンタープライズにおけるTLS 1.3による可視性の課題への対応
Announcement	発表
The Addressing Visibility Challenges with TLS 1.3 project builds on the NCCoE's earlier work, TLS Server Certificate Management, which showed organizations how to centrally monitor and manage their TLS certificates. We are now focusing on protocol enhancements such as TLS 1.3 which have helped organizations boost performance and address security concerns. These same enhancements have also reduced enterprise visibility into internal traffic flows within the organizations' environment. This project aims to change that—and has two main objectives:	Addressing Visibility Challenges with TLS 1.3プロジェクトは、NCCoEが以前取り組んでいたTLSサーバー証明書管理をベースにしている。私たちは現在、TLS 1.3のようなプロトコルの強化に焦点を当てている。このような機能強化によって、エンタープライズ環境内の内部トラフィックの流れに対する可視性は低下している。このプロジェクトはこの状況を変えることを目的としており、2つの主な目的がある：
Provide security and IT professionals with practical approaches and tools to help them gain more visibility into the information being exchanged on their organizations’ servers.	セキュリティとITの専門家に、組織のサーバーでやり取りされる情報の可視性を高めるための実践的なアプローチとツールを提供する。
Help users fully adopt TLS 1.3 in their private data centers and in hybrid cloud environments—while maintaining regulatory compliance, security, and operations.	プライベート・データ・センターやハイブリッド・クラウド環境において、ユーザーがTLS 1.3を完全に採用できるように支援する。
This project will result in a publicly available NIST Cybersecurity Practice Guide in the Special Publication 1800 series, which contains practical steps and guidance to implement our cybersecurity reference designs.	このプロジェクトは、サイバーセキュリティのリファレンスデザインを実装するための実践的な手順とガイダンスを含む、特別刊行物1800シリーズのNISTサイバーセキュリティ実践ガイドとして一般公開される予定である。
Volumes A (2nd preliminary draft) and B (initial preliminary draft) are now available for review and comment. The public comment period is open through April 1, 2024.	A巻（第2次初期ドラフト）とB巻（初期ドラフト）は現在、レビューとコメントを受け付けている。パブリックコメント期間は2024年4月1日までである。
Abstract	概要
The Transport Layer Security (TLS) protocol is widely deployed to secure network traffic. The latest version, TLS 1.3, has been strengthened so that even if a TLS-enabled server is compromised, the contents of its previous TLS communications are still protected—better known as forward secrecy. The approach used to achieve forward secrecy interferes with passive decryption techniques that are widely used by enterprises to achieve visibility into their own TLS 1.2 traffic. Many enterprises depend on that visibility to permit their authorized network security staff to implement controls needed to conform to cybersecurity, operational, and regulatory requirements. This forces enterprises to choose between using the old TLS 1.2 protocol or adopting TLS 1.3 with some alternative method for internal traffic visibility. The NCCoE has, in collaboration with technology providers and enterprise customers, initiated a project demonstrating options for maintaining visibility within the TLS 1.3 protocol within an enterprise to overcome these impediments. The project demonstrates several standards-compliant architectural options for use within enterprises to provide both real-time and post-facto systems monitoring and analytics capabilities. This publication describes the approach, architecture, and security characteristics for the demonstrated proofs of concept.	トランスポート・レイヤー・セキュリティ（TLS）プロトコルは、ネットワーク・トラフィックを保護するために広く導入されている。最新バージョンのTLS 1.3では、TLS対応サーバーが危険にさらされても、以前のTLSコミュニケーションの内容は保護されるように強化されている。前方秘匿を達成するために使用されるアプローチは、エンタープライズが自社のTLS 1.2トラフィックを可視化するために広く使用しているパッシブ復号化技術を妨害する。多くのエンタープライズは、認可を受けたネットワーク・セキュリティ・スタッフが、サイバーセキュリティ、運用、規制の要件に適合するために必要な制御を実施することを許可するために、その可視性に依存している。このためエンタープライズは、古いTLS 1.2プロトコルを使用するか、内部トラフィックを可視化する何らかの代替手段を用いてTLS 1.3を採用するかの選択を迫られている。NCCoEは、テクノロジープロバイダーやエンタープライズの顧客と協力して、これらの障害を克服するために、エンタープライズ内でTLS 1.3プロトコル内の可視性を維持するためのオプションを実証するプロジェクトを開始した。このプロジェクトでは、エンタープライズ内で使用するための標準に準拠したアーキテクチャのオプションをいくつか示し、リアルタイムと事後両方のシステム監視と分析機能を提供する。本書では、実証された概念実証のアプローチ、アーキテクチャ、セキュリティ特性について説明する。

 

・[PDF] SP 1800-37A 2prd

 

・[PDF] SP 1800-37B iprd

 

目次...

Contents	目次
1 Summary.	1 まとめ
1.1 Challenge	1.1 課題
1.2 Solution	1.2 解決策
1.3 BenefitS	1.3 メリット
2 How to Use This Guide	2 このガイドの使い方
3 Approach	3 アプローチ
3.1 Audience	3.1 対象者
3.2 Scope	3.2 対象範囲
3.3 Assumptions	3.3 前提条件
3,4 Risk Assessment	3.4 リスクアセスメント
3.4.1 Threats	3.4.1 脅威
3.4.2 Vulnerabilities	3.4.2 脆弱性
3.4.3 Risk	3.4.3 リスク
3.4.4 Security Control Map	3.4.4 セキュリティ・コントロール・マップ
4 Technologies	4 技術
4.1 Project Collaborators	4.1 プロジェクトの協力者
4.1.1 AppViewX	4.1.1 AppViewX
4.1.2 DigiCert	4.1.2 DigiCert
4.1.3 FS	4.1.3 FS
4.1.4 JPMorgan Chase & Co	4.1.4 JPモルガン・チェース・アンド・カンパニー
4.1.5 Mira Security	4.1.5 Mira Security
4.1.6 NETSCOUT	4.1.6 NETSCOUT
4.1.7 Not for Radio	4.1.7 ノット・フォー・ラジオ
4.1.8 Nubeva	4.1.8 ヌベバ
4.1.9 Thales Trusted Cyber Technologies	4.1.9 タレス・トラステッド・サイバー・テクノロジーズ
4.1.10 U.S. Bank Corporation	4.1.10 U.S.バンク・コーポレーション
4.2 System Architecture Functions	4.2 システムアーキテクチャ機能
4.2.1 Server Components	4.2.1 サーバ・コンポーネント
4.2.2 Client Components	4.2.2 クライアント・コンポーネント
4.2.3 Network Tap Function	4.2.3 ネットワークタップ機能
4.2.4 Break and Inspect Middlebox Function	4.2.4 ブレイク＆インスペクション・ミドルボックス機能
4.2.5 Real-Time Decryption Function	4.2.5 リアルタイム復号化機能
4.2.6 Real-Time Analytics Function	4.2.6 リアルタイム分析機能
4.2.7 Post-Facto Decryption and Analytics Function	4.2.7 事後復号・分析機能
4.2.8 Key Management Agent Function	4.2.8 鍵管理エージェント機能
4.2.9 Enterprise Public Key Infrastructure (PKI)	4.2.9 エンタープライズ公開鍵基盤（PKI）機能
4.2.10 Key Governance Function	4.2.10 鍵ガバナンス機能
4.2.11 Key Source	4.2.11 鍵ソース
4.2.12 TLS Traffic Sources and Sinks	4.2.12 TLS トラフィックのソースとシンク
4.3 Products Comprising the Demonstration Architecture	4.3 実証アーキテクチャを構成する製品
4.3.1 Mira Encrypted Traffic Orchestrator (ETO)	4.3.1 Mira 暗号化トラフィックオーケストレータ（ETO）
4.3.2 AppViewX Key Governance Platform	4.3.2 AppViewX 鍵ガバナンス・プラットフォーム
4.3.3 DigiCert CertCentral Enterprise Certificate Authority	4.3.3 DigiCert CertCentral エンタープライズ認証局
4.3.4 F5 SSL Orchestrator	4.3.4 F5 SSL オーケストレータ
4.3.5 NETSCOUT Visibility Without Borders Platform	4.3.5 NETSCOUT 国境なき可視化プラットフォーム
4.3.6 Not for Radio Encryption Visibility Agent (EVA)	4.3.6 Not for Radio 暗号化ビジビリティ・エージェント（EVA）
4.3.7 Nubeva TLS Visibility Solution	4.3.7 Nubeva TLS可視化ソリューション
4.3.8 Thales Component HSM	4.3.8 Thales コンポーネント HSM
4.3.9 JPMorgan Chase Contribution	4.3.9 JPモルガン・チェースの貢献
4.3.10 U.S. Bank Corporation Contribution	4.3.10 U.S. Bank Corporation の貢献
5 Architecture	5 アーキテクチャ
5.1 Data Center Architecture Description	5.1 データセンターのアーキテクチャ
5.1.1 NCCoE Laboratory Network	5.1.1 NCCoEラボラトリーネットワーク
5.1.2 Internet	5.1.2 インターネット
5.1.3 TLS Subnetwork	5.1.3 TLS サブネットワーク
5.1.4 Management Network	5.1.4 管理ネットワーク
5.1.5 Server Network	5.1.5 サーバネットワーク
5.1.6 Client Networks	5.1.6 クライアントネットワーク
5.1.7 HSM Network	5.1.7 HSMネットワーク
5.1.8 Encrypted Traffic Capture Network	5.1.8 暗号化トラフィックキャプチャネットワーク
5.1.9 Decrypted Traffic Network	5.1.9 復号化トラフィックネットワーク
5.1.10 Server Patch Networks	5.1.10 サーバ・パッチ・ネットワーク
5.2 High-Level Passive Inspection Architecture Overview	5.2 ハイレベルパッシブインスペクションアーキテクチャの概要
5.2.1 Passive Inspection Components	5.2.1 パッシブインスペクションコンポーネント
5.2.2 Passive Inspection Functionality	5.2.2 パッシブインスペクション機能
5.3 High-Level Middlebox Architecture Overview	5.3 ハイレベルミドルボックスアーキテクチャの概要
5.3.1 Break and Inspect Middlebox Component Descriptions	5.3.1 ブレーク＆インスペクトミドルボックスコンポーネントの説明
5.3.2 Break and Inspect Functionality	5.3.2 ブレーク＆インスペクト機能
6 Security Characteristic Analysis	6 セキュリティ特性分析
6.1 Assumptions and Limitations	6.1 前提条件と制限事項
6.2 Build Demonstration	6.2 ビルド・デモンストレーション
6.2.1 Bounded-Lifetime DH Flow	6.2.1 有界寿命DHフロー
6.2.2 Exported Session Key Flow	6.2.2 セッション鍵のエクスポートフロー
6.3 Scenarios and Findings	6.3 シナリオと結果
6.3.1 Demonstration of Passive Inspection	6.3.1 受動的検査のデモ
6.3.2 Demonstration of Inspection Using Middleboxes	6.3.2 ミドルボックスを使った検査のデモ
7 Future Build Considerations	7 将来の構築に関する考察
Appendix A List of Acronyms	附属書A 略語一覧
Appendix B Glossary	附属書B 用語集
Appendix C References	附属書C 参考文献

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.14 米国 NIST 意見募集 SP 1800-37（ドラフト）TLS 1.3による可視性の課題への対応 [初期ドラフト]