米国 NIST IR 8505 クラウドネイティブ・アプリケーションのためのデータ保護アプローチ (2024.09.30)
こんにちは、丸山満彦です。
NISTが、IR 8505 クラウドネイティブ・アプリケーションのためのデータ保護アプローチを公表していますね...
マルチクラウド環境、サービスメッシュネットワーク、ハイブリッドインフラなど、進化するクラウドサービスにおけるデータ保護アプローチを整理していますね...
● NIST - ITL
・2024.09.30 NIST IR 8505 A Data Protection Approach for Cloud-Native Applications
| NIST IR 8505 A Data Protection Approach for Cloud-Native Applications | NIST IR 8505 クラウドネイティブ・アプリケーションのためのデータ保護アプローチ |
| Abstract | 要旨 |
| This document addresses the need for effective data protection strategies in the evolving realm of cloud-native network architectures, including multi-cloud environments, service mesh networks, and hybrid infrastructures. By extending foundational data classification concepts, it provides a framework for aligning data protection approaches with the unknowns of data in transit. Specifically, it explores service mesh architecture, leveraging and emphasizing the capabilities of WebAssembly (WASM) in ensuring robust data protection as sensitive data is transmitted through east-west and north-south communication paths. | 本文書は、マルチクラウド環境、サービスメッシュネットワーク、ハイブリッドインフラなど、進化するクラウドネイティブネットワークアーキテクチャの領域における効果的なデータ保護戦略の必要性に取り組むものである。基本的なデータ分類の概念を拡張することで、データ保護アプローチを転送中の未知のデータと整合させるためのフレームワークを提供する。具体的には、WebAssembly(WASM)の機能を活用し、機密データが東西南北の通信経路を経由して伝送される際の強固なデータ保護を確保するためのサービスメッシュ・アーキテクチャを探求している。 |
・[PDF] NIST.IR.8505
目次...
| 1. Introduction | 1. 序文 |
| 1.1. Existing Approaches to Data Protection and Their Limitations | 1.1. データ保護に対する既存のアプローチとその限界 |
| 1.2. In-Proxy Application for Data Protection | 1.2. データ保護のためのインプロキシ・アプリケーション |
| 1.3. Objective and Scope of This Document | 1.3. 本文書の目的と範囲 |
| 1.4. Organization of This Document | 1.4. 本文書の構成 |
| 2. Web Assembly Background | 2. ウェブアセンブリの背景 |
| 2.1. Origin | 2.1. オリジン |
| 2.2. Progression Into Server-Side Environments | 2.2. サーバーサイド環境への移行 |
| 2.2.1. Development and Deployment Process | 2.2.1. 開発・展開プロセス |
| 2.3. Proxies as WASM Platforms | 2.3. WASMプラットフォームとしてのプロキシ |
| 2.4. Proxy-WASM | 2.4. Proxy-WASM |
| 2.4.1. Role of WASM in Different Service Mesh Architectures | 2.4.1. さまざまなサービス・メッシュ・アーキテクチャにおけるWASMの役割 |
| 2.5. WASI-HTTP | 2.5. WASI-HTTP |
| 2.6. eBPF | 2.6. eBPF |
| 3. Data Protection in Transit | 3. 転送中のデータ保護 |
| 3.1. Data Categorization Techniques | 3.1. データの分類技法 |
| 3.2. Techniques for Data Protection | 3.2. データ保護のテクニック |
| 3.2.1. Web Traffic Data Protection | 3.2.1. ウェブ・トラフィック・データ保護 |
| 3.2.2. API Security | 3.2.2. APIセキュリティ |
| 3.2.3. Microsegmentation | 3.2.3. マイクロセグメンテーション |
| 3.2.4. Log Traffic Data Protection | 3.2.4. ログ・トラフィック・データ保護 |
| 3.2.5. LLM Traffic Data Protection | 3.2.5. LLM トラフィックデータ保護 |
| 3.2.6. Credit Card-Related Data Protection | 3.2.6. クレジットカード関連データ保護 |
| 3.2.7. Monitoring Tools to Visualize Sensitive Data Flows | 3.2.7. 機密データの流れを可視化する監視ツール |
| 4. Security Analysis of WASM Modules | 4. WASM モジュールのセキュリティ分析 |
| 4.1. WASM Security Goals and Security Feature Sets | 4.1. WASMのセキュリティ目標とセキュリティ機能セット |
| 4.1.1. User-Level Security Features | 4.1.1. ユーザーレベルのセキュリティ機能 |
| 4.1.2. Security Primitives for Developers | 4.1.2. 開発者のためのセキュリティ・プリミティブ |
| 4.2. Memory Model and Memory Safety | 4.2. メモリー・モデルとメモリー安全性 |
| 4.3. Execution Model and Control Flow Integrity | 4.3. 実行モデルと制御フローの完全性 |
| 4.4. Security of API Access to OS and Host Resources | 4.4. OSとホスト・リソースへのAPIアクセスのセキュリティ |
| 4.5. Protection From Side-Channel Attacks | 4.5. サイドチャンネル攻撃からの防御 |
| 4.6. Protection Against Code Injection and Other Attacks | 4.6. コード・インジェクションやその他の攻撃に対する防御 |
| 4.7. Deployment and Operating Security | 4.7. セキュリティの展開と運用 |
| 5. Summary and Conclusions | 5. まとめと結論 |
| References | 参考文献 |
| Appendix A. Execution Model for Web Assembly in Browsers | 附属書A. ブラウザにおけるウェブアセンブリの実行モデル |
| Appendix B. Comparison of Execution Models for Containers and WASM Modules | 附属書B. コンテナとWASMモジュールの実行モデルの比較 |
図1. WASMモジュールの生成とその実行
図2. WASMモジュールの開発とブラウザでの実行
図3. コンテナとWASMモジュールの実行スタックの比較
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.06.19 米国 NIST IR 8505(初期公開ドラフト) クラウドネイティブ・アプリケーションのためのデータ保護アプローチ (2024.06.14)
« 米国 NIST NIST CSWP 36B(初期公開草案) ハードウェア対応セキュリティによる5Gシステムプラットフォームの完全性の確保:5Gのサイバーセキュリティおよびプライバシー機能の適用 | Main | 米国 NIST IR 8480(初期公開ドラフト) アイデンティティ管理のための属性妥当性確認サービス:アーキテクチャ、セキュリティ、プライバシー、運用上の考慮事項 »
Comments