CSA ゼロトラスト仕様
Cloud Security Alliance (CSA) は、AWS、Google、Microsoft、Alibabaを含む500以上の企業会員を擁する世界有数のクラウドセキュリティ標準化団体であり、NHPを紹介する「Stealth Mode SDP for Zero Trust Network Infrastructure」に関する包括的なガイダンスを公開しています。
Stealth Mode SDP for Zero Trust Network Infrastructure
ドキュメントの内容
- ✓AI駆動の脅威の状況
AIによるスキャン、偵察、ゼロデイ脆弱性の悪用に関する脅威の分析
- ✓NHPアーキテクチャとワークフロー
コアコンポーネント(NHP-Agent、NHP-Server、NHP-AC)と完全なプロトコルワークフロー
- ✓暗号フレームワーク
Noise Protocol、メッセージヘッダー形式、および18種類のメッセージタイプの仕様
- ✓統合ガイダンス
SDP、DNS、およびFIDO統合パターンと実装上の考慮事項
- ✓ログ記録とコンプライアンス
ログの種類、形式、送信、およびコンプライアンス監査の要件
「TCP/IPのデフォルトのネットワーク可視性は、今日の悪意ある活動の多くを可能にしてきました。現在の脅威の状況と、 一連の原則およびベストプラクティスとしてのゼロトラストの広範な採用を考慮すると、私たちはコアネットワーキング技術を デフォルト拒否のスタンスに転換する必要があると考えています。これは、脅威が開始または成功する前に、 それを拒否、欺瞞、および混乱させることを重視するGartnerのプリエンプティブサイバーセキュリティなどの 新しい概念に沿ったものです。」— CSA Stealth Mode SDP仕様、概要
IETF インターネットドラフト
Internet Engineering Task Force (IETF) は、TCP/IP、HTTP、TLS、DNS、 そして事実上すべてのコアインターネットプロトコルを策定した組織であり、現在NHPの標準化を進めています。 9,000件以上のRFCを公開しており、IETFはインターネットプロトコル標準の最高権威です。
draft-opennhp-saag-nhp
仕様のハイライト
プロトコルアーキテクチャ
NHP-Agent、NHP-Server、NHP-AC、およびASPコンポーネントを、スケーラビリティと セキュリティのための明確な責務分離で定義します。
暗号フレームワーク
XX、IK、Kハンドシェイクパターンを備えたNoise Protocol Frameworkに基づいています。 Curve25519、ChaCha20-Poly1305、およびHKDFを使用します。
メッセージ形式
NHP-KNK(Knock)、NHP-ACK、NHP-AOP、NHP-ACC、およびその他の メッセージタイプのバイナリエンコーディングによる完全な仕様。
統合パターン
SDP、DNS、FIDO認証、およびゼロトラストポリシーエンジンとの統合ガイダンス。
業界標準に基づく構築
NHPは、確立されたセキュリティ標準およびプロトコルに基づいて構築され、それらを参照しています。
NIST SP 800-207
米国国立標準技術研究所(NIST)によるゼロトラストアーキテクチャのガイドライン。
RFC 8446 (TLS 1.3)
NHPは、接続前認証とサービス隠蔽を提供することでTLSを補完します。
RFC 9000 (QUIC)
NHPは、TCPと同様の隠蔽機能でQUICベースのサービスを保護できます。
RFC 9180 (HPKE)
高度な鍵カプセル化シナリオで参照されるハイブリッド公開鍵暗号。
Noise Protocol Framework
NHPのハンドシェイクパターンと鍵交換の暗号基盤。
CSA SDP Spec v2.0
Garbis、Koilpillai、Islam、Flores、Bailey、Chenらによるソフトウェア定義境界の仕様(2022年3月)。
NHP標準化に貢献する
ゼロトラストネットワーキングの未来を形作る活動に参加してください。 仕様をレビューし、フィードバックを提出し、IETFプロセスに参加しましょう。