米国 NIST IR 8505（初期公開ドラフト） クラウドネイティブ・アプリケーションのためのデータ保護アプローチ (2024.06.14)

こんにちは、丸山満彦です。

NISTが、IR 8505（初期公開ドラフト） クラウドネイティブ・アプリケーションのためのデータ保護アプローチを公表し、意見募集をしていますね。。。

静止状態でのデータ防御技術（正規表現など）に加えて、サービスやネットワーク・プロトコルを横断して移動するデータを能動的に監視して保護するために、リアルタイムでデータ分析を実行する移動中のデータ分類を開発することが不可欠になっていることから、WebAssembly（WASM）の機能を利用した効果的なデータ保護のための実用的なフレームワークについて　概説しているのが、この文書ということのようです...

 

● NIST - ITL

・2024.06.14 NIST IR 8505 (Initial Public Draft) A Data Protection Approach for Cloud-Native Applications

 

NIST IR 8505 (Initial Public Draft) A Data Protection Approach for Cloud-Native Applications	NIST IR 8505（初期公開ドラフト） クラウドネイティブ・アプリケーションのためのデータ保護アプローチ
Announcement	発表
Cloud-native applications, which are generally based on microservices-based application architecture, involve the governance of thousands of services with as many inter-service calls. In this environment, ensuring data security involves more than simply specifying and granting authorization during service requests. It also requires a comprehensive strategy to categorize and analyze data access and leakage as data travels across various protocols (e.g., gRPC, REST-based), especially within ephemeral and scalable microservices implemented as containers.	クラウドネイティブ・アプリケーションは、一般的にマイクロサービス・ベースのアプリケーション・アーキテクチャをベースにしており、何千ものサービスのガバナンスが必要であり、サービス間の呼び出しも多い。このような環境では、データ・セキュリティの確保は、単にサービス・リクエスト時に認可を指定・付与するだけではない。また、特にコンテナとして実装されたエフェメラルでスケーラブルなマイクロサービス内で、データが様々なプロトコル（gRPC、RESTベースなど）を横断する際に、データアクセスと漏えいを分類・分析する包括的な戦略も必要となる。
Hence, in addition to techniques for protecting data at rest (e.g., regular expressions), it has become essential to develop in-transit data categorization that performs real-time data analysis to actively monitor and secure data as it moves across services and network protocols. This IR outlines a practical framework for effective data protection using the capabilities of WebAssembly (WASM) — a platform-agnostic, in-proxy approach with compute and traffic processing capabilities (in-line, network traffic analysis at layers 4–7) that can be built and deployed to execute at native speed in a sandboxed and fault-tolerant manner.	したがって、静止状態でのデータ防御技術（正規表現など）に加えて、サービスやネットワーク・プロトコルを横断して移動するデータを能動的に監視して保護するために、リアルタイムでデータ分析を実行する移動中のデータ分類を開発することが不可欠になっている。このIRでは、WebAssembly（WASM）の機能を利用した効果的なデータ保護のための実用的なフレームワークについて概説する。このフレームワークは、プラットフォームにとらわれないインプロキシアプローチであり、計算機能とトラフィック処理機能（インライン、レイヤー4～7でのネットワークトラフィック分析）を備えている。
Abstract	概要
This document addresses the need for effective data protection strategies in the evolving realm of cloud-native network architectures, including multi-cloud environments, service mesh networks, and hybrid infrastructures. By extending foundational data categorization concepts, it provides a framework for aligning data protection approaches with the unknowns of data in transit. Specifically, it explores service mesh architecture, leveraging and emphasizing the capabilities of WebAssembly (WASM) in ensuring robust data protection as sensitive data is transmitted through east-west and north-south communication paths.	本書は、マルチクラウド環境、サービスメッシュ・ネットワーク、ハイブリッド・インフラなど、進化するクラウドネイティブ・ネットワークアーキテクチャの領域における効果的なデータ保護戦略の必要性に取り組むものである。基本的なデータ分類の概念を拡張することで、転送中のデータの未知数にデータ保護アプローチを整合させるためのフレームワークを提供する。具体的には、WebAssembly（WASM）の機能を活用し、機密データが東西および南北の通信経路を経由して伝送される際に、堅牢なデータ保護を確保するためのサービスメッシュアーキテクチャを探求している。

 

・[PDF] NIST.IR.8505.ipd

 

目次...

1. Introduction	1. 序文
1.1. Existing Approaches to Data Protection and Their Limitations	1.1. データ保護に対する既存のアプローチとその限界
1.2. In-Proxy Application for Data Protection	1.2. データ防御のためのインプロキシ・アプリケーション
1.3. Objective and Scope of This Document	1.3. この文書の目的と範囲
1.4. Organization of This Document	1.4. 本文書の構成
2. Web Assembly Background	2. ウェブアセンブリの背景
2.1. Origin	2.1. 起源
2.2. Progression Into Server-Side Environments	2.2. サーバーサイド環境への移行
2.2.1. Development and Deployment Process	2.2.1. 開発と展開のプロセス
2.3. Proxies as WASM Platforms	2.3. WASMプラットフォームとしてのプロキシ
2.4. Proxy-WASM	2.4. Proxy-WASM
2.4.1. Role of WASM in Different Service Mesh Architectures	2.4.1. 異なるサービスメッシュ・アーキテクチャにおけるWASMの役割
2.5. WASI-HTTP	2.5. WASI-HTTP
2.6. eBPF	2.6. eBPF
3. Data Protection in Transit	3. トランジットにおけるデータ防御
3.1. Data Categorization Techniques	3.1. データ分類技術
3.2. Techniques for Data Protection	3.2. データ防御のテクニック
3.2.1. Web Traffic Data Protection	3.2.1. ウェブ・トラフィック・データの防御
3.2.2. API Security	3.2.2. APIセキュリティ
3.2.3. Microsegmentation	3.2.3. マイクロセグメンテーション
3.2.4. Log Traffic Data Protection	3.2.4. ログ・トラフィック・データの防御
3.2.5. LLM Traffic Data Protection	3.2.5. LLMトラフィックデータ防御
3.2.6. Credit Card-Related Data Protection	3.2.6. クレジットカード関連データの防御
3.2.7. Monitoring Tools to Visualize Sensitive Data Flows	3.2.7. 機密データの流れを可視化する監視ツール
4. Security Analysis of WASM Modules	4. WASMモジュールのセキュリティ分析
4.1. WASM Security Goals and Security Feature Sets	4.1. WASMのセキュリティ目標とセキュリティ機能セット
4.1.1. User-Level Security Features	4.1.1. ユーザーレベルのセキュリティ機能
4.1.2. Security Primitives for Developers	4.1.2. 開発者のためのセキュリティ・プリミティブ
4.2. Memory Model and Memory Safety	4.2. メモリ・モデルとメモリ安全性
4.3. Execution Model and Control Flow Integrity	4.3. 実行モデルと制御フローの完全性
4.4. Security of API Access to OS and Host Resources	4.4. OSとホスト・リソースへのAPIアクセスの安全性
4.5. Protection From Side-Channel Attacks	4.5. サイドチャンネル攻撃からの防御
4.6. Protection Against Code Injection and Other Attacks	4.6. コード・インジェクションやその他の攻撃に対する防御
4.7. Deployment and Operating Security	4.7. 配備と運用のセキュリティ
5. Summary and Conclusions	5. まとめと結論
References	参考文献
Appendix A. Execution Model for Web Assembly in Browsers	附属書A. ブラウザにおけるウェブアセンブリの実行モデル
Appendix B. Comparison of Execution Models for Containers and WASM Modules	附属書B. コンテナとWASMモジュールの実行モデルの比較

 

序文...

1. Introduction	1. 序文
In the constantly evolving landscape of cloud-native application architectures, where data resides in multiple locations (i.e., on-premises and on the cloud), ensuring data security involves more than simply specifying and granting authorization during service requests. It also involves a comprehensive strategy to categorize and analyze data access and leakage as data travels across various protocols (e.g., gRPC, REST-based), especially within ephemeral and scalable microservices applications. As organizations find themselves governing hundreds to tens of thousands of services and the inter-service calls between them, a security void has been identified in observing and protecting sensitive data in transit.	データが複数の場所（すなわち、オンプレミスとクラウド上）に存在するクラウドネイティブ・アプリケーション・アーキテクチャの状況は常に進化しており、データセキュリティの確保には、サービス要求時に単に認可を指定・付与するだけでは不十分である。また、特にエフェメラルでスケーラブルなマイクロサービス・アプリケーション内で、データが様々なプロトコル（gRPC、RESTベースなど）を横断する際に、データ・アクセスと漏えいを分類・分析する包括的な戦略も必要となる。政府は、数百から数万のサービスと、それらの間のサービス間コールをガバナンスしていることに気付くと、転送中の機密データを観察し、保護するセキュリティ上の空白が特定された。
1.1. Existing Approaches to Data Protection and Their Limitations	1.1. データ保護に対する既存のアプローチとその限界
Traditionally, regular expressions (regex) have been widely used for data categorization to identify patterns that match predefined categories or data classes with the aid of keywords and validators for enhanced precision. Despite its wide adoption and usage, the approach has notable limitations. The processing time scales linearly with data volume, making it impractical for very large datasets. Regex also lacks the capability for logical computations, which are necessary for complex validations like checksums in credit card numbers. Its effectiveness heavily relies on the correct proximity to specific keywords, leading to potential false positives and considerable noise if not managed correctly.	従来、正規表現（regex）は、精度を高めるためのキーワードやバリデータの助けを借りて、事前に定義されたカテゴリーやデータクラスに一致するパターンを識別するために、データの分類に広く使用されてきた。広く採用され使用されているにもかかわらず、このアプローチには顕著な限界がある。処理時間はデータ量に比例するため、非常に大きなデータセットでは実用的でない。また正規表現には、クレジットカード番号のチェックサムのような複雑なバリデーションに必要な論理計算の機能がない。その有効性は、特定のキーワードに正しく近接しているかどうかに大きく依存しており、正しく管理されなければ誤検出の可能性やかなりのノイズにつながる。
Machine learning (ML) offers a promising enhancement to data categorization by learning from data patterns and improving over time, thus providing a scalable and adaptable solution. ML algorithms can handle both structured and unstructured data, predict data categories based on historical data, and adjust to new patterns without explicit reprogramming. This adaptability significantly reduces the time and computational resources required to manage complex datasets and is effective for both data at rest and in motion.	機械学習(ML)は、データパターンから学習し、時間の経過とともに改善することで、データ分類に有望な強化を提供する。MLアルゴリズムは、構造化データと非構造化データの両方を扱い、過去のデータに基づいてデータカテゴリーを予測し、明示的な再プログラミングなしに新しいパターンに適応することができる。この適応性は、複雑なデータセットを管理するのに必要な時間と計算資源を大幅に削減し、静止しているデータと動いているデータの両方に有効である。
To address and complement the limitations of traditional data-at-rest inventory, in-transit data categorization has recently come to light as the next logical step in data protection. Unlike the former, which only secures stored information, in-transit categorization actively monitors and secures data as it moves across services and network protocols. This shift to real-time data analysis within the network brings new observability capabilities, eliminating the need for traffic mirroring and data duplication.	従来のデータアットレストのインベントリの限界に対処し、補完するために、データ保護の次の論理的ステップとして、移動中のデータ分類が最近注目されるようになった。保存された情報のみを保護する従来の方法とは異なり、移動中のデータ分類は、サービスやネットワーク・プロトコルを移動するデータを積極的に監視し、保護する。ネットワーク内でのリアルタイム・データ分析への移行は、新たな観測可能性をもたらし、トラフィックのミラーリングやデータの複製を不要にする。
1.2. In-Proxy Application for Data Protection	1.2. データ防御のためのインプロキシ・アプリケーション
To address the need for data categorization during travel across services, a relatively new class of in-proxy application called the WebAssembly program (also called a WASM module) has been increasingly deployed. A WASM module is a lightweight executable compiled to low-level bytecode. This bytecode can be:	サービス間の移動中にデータを分類する必要性に対処するため、WebAssemblyプログラム（WASMモジュールとも呼ばれる）と呼ばれる比較的新しいクラスのインプロキシ・アプリケーションの導入が進んでいる。WASMモジュールは、低レベルのバイトコードにコンパイルされた軽量の実行ファイルである。このバイトコードには次のようなものがある：
(a)   Generated from code written in any language using their associated WebAssembly compilers, including C, C++, and Rust	(a) C、C++、Rustなど、関連するWebAssemblyコンパイラを使って任意の言語で書かれたコードから生成する。
(b)  Run using a WASM runtime in an isolated virtual machine (VM) within the proxy, which allows developers to enhance applications with necessary functionality and run them as efficiently as native code in the proxies.	(b) プロキシ内の分離された仮想マシン（VM）内でWASMランタイムを使用して実行する。これにより、開発者は必要な機能を持つアプリケーションを拡張し、プロキシ内でネイティブコードと同様に効率的に実行することができる。
Over the last few years, the Envoy WASM VM has enabled new types of compute and traffic processing capabilities and allowed for custom WASM modules to be built and deployed in a sandboxed and fault-tolerant manner.	ここ数年で、Envoy WASM VMは新しいタイプのコンピュートとトラフィック処理機能を可能にし、サンドボックス化されたフォールトトレラントな方法でカスタムWASMモジュールを構築してデプロイできるようになった。
Additionally, the following features of WebAssembly modules make them particularly effective for data protection:	さらに、WebAssemblyモジュールの次のような特徴は、データ保護に特に効果的である：
• Data Discovery and Categorization: WASM modules can dynamically identify and categorize data as it traverses the network, ensuring that sensitive information is recognized and handled appropriately.	・データの発見と分類: WASMモジュールは、ネットワーク上を通過するデータを動的に識別・分類し、機密情報が認識され。適切に処理されるようにすることができる。
• Dynamic Data Masking (DDM): WASM modules can apply DDM techniques to redact or mask sensitive information in transit, enhancing privacy and security.	・動的データマスキング(DDM): WASMモジュールはDDM技術を適用して、転送中の機密情報を再編集またはマスクし、プライバシーとセキュリティを強化することができる。
• User and Entity Behavior Analytics (UEBA): WASM modules can analyze user and entity behaviors in real time, detecting anomalies and potential security threats.	・ユーザーと事業体の行動分析(UEBA): WASMモジュールはユーザーや事業体の行動をリアルタイムで分析し、異常や潜在的なセキュリティ脅威を検知することができる。
• Data Loss Prevention (DLP): WASM modules can enforce DLP policies by monitoring and controlling data transfers to prevent unauthorized data exfiltration.	・データ損失防止(DLP): WASMモジュールは、不正なデータ流出を防ぐためにデータ転送を監視・管理することで、DLPポリシーを実施することができる。
1.3. Objective and Scope of This Document	1.3. この文書の目的と範囲
All services (e.g., networking, security, monitoring, etc.) for microservices-based applications are provided by a centralized infrastructure called the service mesh, and the data plane for this service mesh — which performs all runtime tasks — consists of proxies. This document outlines a practical framework for effective data protection and highlights the versatile capabilities of WebAssembly (WASM) within service mesh architectures, multi-cloud environments, and hybrid (i.e., a combination of on-premises and cloud-based) infrastructures. By focusing on inline, network traffic analysis at layers 4–7, organizations can enhance security, streamline operations, and utilize adaptive data protection measures.	マイクロサービスベースのアプリケーションのすべてのサービス（ネットワーキング、セキュリティ、モニタリングなど）は、サービスメッシュと呼ばれる集中型インフラストラクチャによって提供され、このサービスメッシュのデータプレーン（すべてのランタイムタスクを実行する）は、プロキシで構成される。このドキュメントでは、効果的なデータ保護のための実用的なフレームワークの概要を示し、サービスメッシュアーキテクチャ、マルチクラウド環境、ハイブリッド（オンプレミスとクラウドベースの組み合わせ）インフラにおけるWebAssembly（WASM）の多用途な機能を強調する。レイヤー4～7におけるインラインのネットワークトラフィック分析に重点を置くことで、企業はセキュリティを強化し、運用を合理化し、適応的なデータ保護対策を利用することができる。
1.4. Organization of This Document	1.4. 本文書の構成
This document is organized as follows:	本文書の構成は以下の通りである：
• Section 2 describes the execution environment for WASM modules in detail, including the application infrastructure (i.e., service mesh) under which it runs, the specific host environment (i.e., proxies), the process for generating bytecodes and executables, the processes for executing the modules using a WASM runtime, and an API (i.e., WASI) for accessing OS resources of the underlying platform.	・セクション2では、WASMモジュールが実行されるアプリケーション基盤（すなわちサービスメッシュ）、特定のホスト環境（すなわちプロキシ）、バイトコードと実行可能ファイルを生成するプロセス、WASMランタイムを使用してモジュールを実行するプロセス、基盤となるプラットフォームのOSリソースにアクセスするためのAPI（すなわちWASI）など、WASMモジュールの実行環境について詳しく説明する。
• Section 3 introduces the concept of data categorization and the use of various data protection techniques (e.g., data masking, redaction, etc.) to ensure the security of data in different domains or application scenarios using WASM modules, such as web traffic data protection, API Security, microsegmentation, log traffic data protection, LLM traffic data protection, and integration with monitoring tools for the visualization of sensitive data flows.	・セクション3では、データの分類の概念と、ウェブトラフィックデータ保護、APIセキュリティ、マイクロセグメンテーション、ログトラフィックデータ保護、LLMトラフィックデータ保護、機密データフローの可視化のための監視ツールとの統合など、WASMモジュールを使用したさまざまなドメインやアプリケーションシナリオにおけるデータのセキュリティを確保するための、さまざまなデータ保護技術（データマスキング、再編集など）の使用について紹介する。
• Section 4 presents a detailed security analysis of a WASM module by examining its development, deployment, and execution environment to ensure that the module satisfies the properties of a security kernel and can provide the necessary security assurance.	・セクション4では,WASMモジュールがセキュリティカーネルの特性を満たし、必要なセキュリティ保証を提供できることを保証するために、その開発、実装、実行環境を調査することによって、WASMモジュールの詳細なセキュリティ分析を行う。
• Section 5 provides a summary of the topics covered in this document and discusses how WASM module functionality must continuously evolve to provide the security assurance needed to protect against data breaches and exfiltration in the context of increasingly sophisticated attacks on data.	・セクション5では,本文書で取り上げたトピックの概要を示し,データに対する攻撃がますます巧妙化する中で、データ侵害や流出から保護するために必要なセキュリティ保証を提供するために、WASMモジュールの機能がどのように継続的に進化していかなければならないかについて議論する。

 

図1. WASMモジュールの生成とその実行

 

 

 

図2. WASMモジュールの開発とブラウザでの実行

 

図3. コンテナとWASMモジュールの実行スタックの比較