MontaVista による Linux ベースのレジリエントな組み込みシステムによる NIST のゼロ トラスト アーキテクチャの実装
イントロダクション
MontaVista Software は 20 年以上の歴史を持ち、世界中のさまざまな業界で何百万台にも及ぶデバイスに採用されています。Ericsson、Nokia、Mavenir、Grundfos といった世界有数の企業で、MontaVista の Carrier Grade eXpress (CGX) Linux は各社のコア技術システムに統合され、ミッションクリティカルな通信プラットフォーム、医療技術システム、グローバルでレジリエントな産業およびロボット製造環境において、堅牢性、接続性、セキュリティを重視した設計・開発に利用されています。
このドキュメントでは、 ゼロ トラスト アーキテクチャ (ZTA) の概念について説明し、米国商務省の一部門である 国立標準技術研究所 (NIST) のガイドラインに従って、パートナーがミッション クリティカルなアプリケーションに対し ZTA を実装するのを MontaVista がどのように支援できるかを示しています。読者は、 NIST SP 800-207 ドキュメントをある程度理解していることが求められます。
ここで紹介する主なソリューションは MontaVista の CGX Linux で、これは当社の顧客プログラムのオペレーティング環境のベースとして共通に使われているものです。
ソリューションの詳細
NIST SP 800-207 ドキュメントで説明されているように、ZTA は一連の方法ではなく、これに従うことでより安全なシステムを作成することができる一連の原則または信条です。これらの信条をシステムに適用して、システムを保護するための要件を作成する必要があります。
要件を実装するにはツールが必要です。以下に原則とその適用について説明します。NIST のドキュメントでは、これらの原則についてさらに詳しく説明しています。ここでは、これらの原則を満たすために何を行う必要があるかに焦点を当てます。
1. すべてのデータ ソースとコンピューティング サービスはリソースと見なされます。
これには、システム内のすべてのリソースと、それらへのアクセス方法およびアクセス元を把握するためにシステムをモデル化する必要があります。モデル化は公式または非公式に行うことができますが、これらのテナントを適用する必要がある場所を見つけるために行う必要があります。モデル化では、人間と自動化システムの両方からシステムが遭遇する可能性のある内部および外部の脅威を考慮する必要があります。
2. ネットワークの所在に依存せず、すべての通信が保護されます。
ここで、ZTA の中心的な原則が作用します。すべてのリソースへのすべてのアクセスを保護する必要があります。ネットワークには、内部のものがオープンになっている境界がなくなりました。何もオープンではありません。システムのモデルを作成したら、それを使用して、保護する必要があるすべてのものを判断できます。
CGX は、この目的のために多くのツールを提供しています。OpenSSL や mbed などの TLS ライブラリがあり、基本的なセキュリティに使用できます。デフォルトでは接続を保護しないプログラムの接続を保護するための stunnel などのツールがあります。また、さまざまな Web サーバーを介した HTTP 接続や、ログイン タイプのサービス用の SSH を保護するためのさまざまな高レベル ツールもあります。
DNS、NTP、DHCP など、最初は明らかでない多くのものも保護する必要があります。CGX には、これらの目的のためのツールがあります。
3. 個々の企業リソースへのアクセスは、セッションごとに許可されます。
「一度信頼されたら、以降ずっと信頼が続く」、という方式ではありません。
繰り返しますが、モデリングでは、アクセス制御とセキュリティ保護が必要な場所を明確にする必要があります。
認証のベスト プラクティスは、公開キー (PK) 暗号化です。安全な接続を実現する同じツールが、PK による認証も提供します。
4. リソースへのアクセスは、クライアント ID、アプリケーション/サービス、要求元資産の観察可能な状態を含む動的ポリシーによって決定され、その他の動作属性や環境属性も含まれる場合があります。
この原則では、動的ポリシーの概念が導入されています。アクセス制御のポリシーは、動的なシステム状態に依存する場合があります。ネットワーク オペレーターやシステム内のソフトウェアでさえ、動的に発生している事象を検出し、アクセス制御を変更する場合があります。たとえば、ネットワーク監視システムは、アクティブなポート スキャンを検出し、その IP アドレスからのリソースへのアクセスを一時的に無効にする場合があります。
SELinux は、最小権限の原則に基づくきめ細かなアクセス制御を提供する CGX のソリューションの 1 つです。MontaVista では、システム管理者がアクセス可能なアプリケーションに利用できる最小限の機能を設定し、侵害された場合の露出を制限するアプローチを常に提案しています。SELinux は強力ですが、特にリソースが限られているシステムでは実装が難しい場合があります。MontaVista には、制約の厳しいシステムで SELinux を実装した経験があります。
さらに、このテナントではシステムの動的な自動構成が必要であり、当然ながら、これを保護する必要があります。
MontaVista は、clixon アプリケーションに NETCONF/RESTCONF インターフェースを提供します。SSH または TLS 経由でアクセスされる構成に、標準ベースのモジュール モデリング言語ベースのインターフェイスを提供します。ログ集約用の fluentbit ツールは、ログ分析を実行し、システム アクティビティに基づいてアクションを実行することもできます。
5. 企業は、所有および関連するすべての資産の整合性とセキュリティ体制を監視および測定します。
テナント 4 を実装するには、システムにその動作状態に関する情報が必要です。
幸いなことに、CGX は、ネットワークとローカル システムの整合性を測定するための samhain、suricata、その他多くのツールを提供しています。
6. すべてのリソースの認証と承認は動的であり、アクセスが許可される前に厳格に適用されます。
これはツールが役立つというよりもむしろ運用哲学ですが、モデリングと ZTA の原則に従い、適切な認証なしではシステム内またはシステムへのインターフェースにアクセスすることはできません。例外はありません。
7. 企業は、資産、ネットワーク インフラストラクチャ、通信の現在の状態について可能な限り多くの情報を収集し、それを使用してセキュリティ体制を改善します。
テナント 5 で説明したツールを通じてシステムの各部分で実行されるネットワークとローカル システムの監視だけでなく、システム ログとアプリケーション ログを上流のエンタープライズ システムに送信して、すべての情報を収集および分析し、潜在的な問題を探し、問題が発生する前に問題を検出する必要があります。ローカル分析も実行され、ローカル対策も講じられる場合があります。
CGX は、さまざまなソースからログを受信し、ログをフィルタリングして処理し、それらのログをさまざまなエンタープライズ監視システムに集約するための fluentbit を提供します。
サマリー
このドキュメントでは、ZTA のテナントについて高レベルで説明し、モデリングによって生成される要件を満たすために MontaVista の CGX Linux が提供するツールの一部について説明しました。MontaVista の他のドキュメントでは、モデリングの実行方法、そのモデリングを取得して要件の検出に適用する方法、それらの要件と利用可能なツールを使用してシステムのセキュリティ目標を満たす方法について説明します。
さらに、MontaVista には、ZTA 原則に従い、トラステッド ブート、無線 (OTA) 更新、強制アクセス制御 (MAC)、VPN、ファイアウォールなどの他のセキュリティ原則を実装した、完全なターンキー セキュア システムを提供する Secure Gateway 製品があり、アプリケーション開発の基本プラットフォームとして使用できます。これらのセキュリティ ツールはすべて基本 CGX で使用できますが、Secure Gateway は、すべてがすでに構成され、十分に検討された統合済みプラットフォームを提供します。
これらに加え、MontaVista がサポートする Kubernetes ソリューションである MVKube では、このプラットフォーム上およびゲートウェイが保護するネットワーク内のデバイス上でシームレスに実行されます。多目的ソリューションである MVKube を使用すると、お客様は既存の Kubernetes クラスター アプリケーションを専門的なサポートとセキュリティ構成で実行したり、エンドツーエンドのクラスター展開サービスを当社の専門家に依頼することができます。
安全で信頼性が高く、接続性に優れた OS プラットフォームをお探しなら、MontaVista の CGX Linux がこれらすべての要件を満たします。MontaVista の CGX Linux と独自の専門知識を活用して、次世代の回復力と拡張性に優れた組み込みアプリケーションを今すぐ構築しましょう。
製品やソリューションに関するより詳細な情報につきましては、sales@mvista.com にご連絡いただくか、 request フォームにてお尋ねください。