Agile Cat — in the cloud

NIST の Cloud Architecture – プロバイダとユーザーのスコープ

Posted in .Selected, NIST by Agile Cat on October 14, 2011

NIST Cloud Computing Reference Architecture より ・・・

TAG index

2. Cloud Computing Reference Architecture: An Overview
2.7 Scope of Control between Provider and Consumer
ーーーーー

image

『 US Government(USG)におけるクラウド・コンピューティングの導入と実装は、テクニカ/非テクニカルな要因に応じたものとなる。基本的な参照ポイントは、NIST definition of Cloud Computing に基づくものとなるが、政府機関の規模で利用可能にするために、全体的なフレームワークの記述が必要になる。このドキュメントは、コンポーネント間の正確な通信と、クラウド・コンピューティングを実現することになる、NIST Cloud Computing Reference Architecture (RA) and Taxonomy (Tax) を提供する。』 とのことです。 ーーー __AC Stamp 2

ーーーーーーーーーーーー

The Cloud Provider and Cloud Consumer share the control of resources in a cloud system. As illustrated in Figure 8, different service models affect an organization‟s control over the computational resources and thus what can be done in a cloud system. The figure shows these differences using a classic software stack notation comprised of the application, middleware, and OS layers. This analysis of delineation of controls over the application stack helps understand the responsibilities of parties involved in managing the cloud application.

Cloud Provider と Cloud Consumer は、クラウド・システムにおけるリソースのコントロールを共有する。Figure 8 に示すように、それぞれのサービス・モデルが、個々の組織におけるコンピューティング・リソースと、クラウド・システムの機能対するコントロールに影響を与える。以下の図では、それらの組織における、従来からのソフトウェア・スタックが構成する、アプリケーション/ミドルウェア/OS の各レイヤを用いて、相違点を示している。 クラウド・アプリケーションの管理に責任を負うチームは、このコントロールを図解する分析により、アプリケーション・スタックへの理解を促進していく。

Figure 8: Scope of Controls between Provider and Consumer
クリックで拡大⇒

The application layer includes software applications targeted at end users or programs. The applications are used by SaaS consumers, or installed/managed/ maintained by PaaS consumers, IaaS consumers, and SaaS providers.

このアプリケーション・レイヤには、エンドユーザーを対象とするソフトウェア・アプリケーションやプログラムが含まれる。そのアプリケーションは、SaaS Consumer により使用されるが、PaaS Consumer あるいは、IaaS Consumer 、SaaS Provider によりインストール/管理/維持される。

The middleware layer provides software building blocks (e.g., libraries, database, and Java virtual machine) for developing application software in the cloud. The middleware is used by PaaS consumers, installed/managed/maintained by IaaS consumers or PaaS providers, and hidden from SaaS consumers.

ミドルウェア・レイヤは、対象となるクラウドにアプリケーション・ソフトウェアをディプロイするための、ソフトウェア・ビルディング・ブロック(ライブラリ、データベース、Java VM など)を提供する。 そのミドルウェアは、PaaS Consumer により使用されるが、 IaaS Consumer あるいは PaaS Provider によりインストール/管理/維持され、また、SaaS Consumer からは隠される。

The OS layer includes operating system and drivers, and is hidden from SaaS consumers and PaaS consumers. An IaaS cloud allows one or multiple guest OS‟s to run virtualized on a single physical host. Generally, consumers have broad freedom to choose which OS to be hosted among all the OS‟s that could be supported by the cloud provider. The IaaS consumers should assume full responsibility for the guest OS‟s, while the IaaS provider controls the host OS.

この OS レイヤには、OS 自身とドライバが取り込まれ、また、SaaS Consumer と PaaS Consumer からは隠される。 IaaS クラウドは、物理的シングル・ホスト上で仮想化される、マルチ・ゲスト OS を実行するとができる。 Consumer は一般的に、Cloud Provider がサポートする全 OS の中から、ホストしてもらう OS を選ぶという、広範囲におよぶ自由を持っている。IaaS Consumer は、ゲスト OS に関する全責任を負うべきであり、また、IaaS Provider はホスト OS をコントロールすることになる。

ーーーーー

この話は、今年の 4月に、SaaS/PaaS/IaaS とセキュリティの責任範囲 というタイトルで説明しましたが、そには Security and Privacy というドキュメントからのものでした。 以前のものはクラウドの安全性という点に絞って、このスコープについて説明していますが、今回のものはアーキテクチャから見ている点が、異なるようです。 ーーー __AC Stamp 2

ーーーーー

<関連>

NIST がクラウドのための Roadmap と Architecture を発表
NIST の Cloud Architecture 序文
NIST の Cloud Architecture 概要

 

 

NIST の Cloud Architecture 概要

Posted in .Selected, NIST by Agile Cat on October 8, 2011

NIST Cloud Computing Reference Architecture より ・・・

TAG index

2. Cloud Computing Reference Architecture: An Overview
2.1 The Conceptual Reference Model

ーーーーー

imageUS Government(USG)におけるクラウド・コンピューティングの導入と実装は、テクニカ/非テクニカルな要因に応じたものとなる。基本的な参照ポイントは、NIST definition of Cloud Computing に基づくものとなるが、政府機関の規模で利用可能にするために、全体的なフレームワークの記述が必要になる。このドキュメントは、コンポーネント間の正確な通信と、クラウド・コンピューティングを実現することになる、NIST Cloud Computing Reference Architecture (RA) and Taxonomy (Tax) を提供する。』 とのことです。 ーーー __AC Stamp 2

ーーーーーーーーーーーー

Figure 1 が示すのは、NIST クラウド・コンピューティングのリファレンス・アーキテクチャの概要であり、クラウドにおける主要なアクター/アクティビティ/ファンクションを識別している。この図に描かれるのは、汎用的なハイレベル・アーキテクチャであり、クラウド・コンピューティングにおける要件/利用/特徴/標準の理解を促進するよう意図されている。

クリックで拡大 ⇒

Figure 1 に示されるように、NIST クラウド・コンピューティングのリファレンス・アーキテクチャは、5 つの主要アクターを定義する:Cloud Consumer/Cloud Provider/Cloud Carrier/Cloud Auditor/Cloud Broker。 それぞれのアクターは、クラウド・コンピューティングにおけるトランザクションやプロセスに参加し、また、タスクを実行するエンティティ(要員、組織)となる。Table 1 は、NIST クラウド・コンピューティングのリファレンス・アーキテクチャで定義される、アクターに関する簡潔なリストである。アクターたちの通常のアクティビティに関しては、この Section の後半で説明するが、アーキテクチャ上の詳細な要素については、Section 3 で説明する。

Figure 2 が例証するのは、それぞれのアクター間における相互作用である。Cloud Consumer はクラウド・サービスの調達を、Cloud Provider からダイレクトに行う場合もあれば、Cloud Broker を介して行う場合もある。 Cloud Auditor は、単独で監査を行う場合もあれば、必要な情報を収集するために他者と連携する場合もある。その詳細については、以下の各 Section で説明し、また、一連の図を用いて、詳細なレベルまで補足していく。

クリックで拡大 ⇒

Example Usage Scenario 1: Cloud Consumer は、Cloud Provider とダイレクトに連絡を取る代わりに、Cloud Broker からサービスを求めるだろう。 Cloud Brokerは、多数のサービスを結合することにより、また、既存のサービスを拡張することで、新しいサービスを構築するかもしれない。この例では、Cloud Consumer から Cloud Provider の存在は見えず、Cloud Brokerと相互作用することなる。

Example Usage Scenario 2: Cloud Carrier は、Cloud Provider からCloud Consumer へと向かう、クラウド・サービスの接続性と転送能力を提供する。Cloud Provider は、 2つのSLA(service level agreements)に個別に加入する。 1つは、Cloud Carrier とのものであり(例 SLA2)、もう1つは Cloud Consumer とのものである(例 SLA1)。 Cloud Provider は SLA について、Cloud Carrier と調整していく。そして Cloud Provider は、Cloud Consumer との契約上の義務に応じて、一貫したレベルでのクラウド・サービスの利用を保証するために、暗号化された専用のコネクションを必要とするかもしれない。このケースにおいて、対象となる Provider は SLA1 の本質的な要件を提供するために、その能力および、柔軟性と、機能の要件を、SLA2 で指定することになるだろう。

Example Usage Scenario 3: Cloud Auditor は、実行されるクラウド・サービスの、オペレーションとセキュリティを独自に査定する。 Cloud Auditor の査定においては、Cloud Consumer およびCloud Provider との相互作用が生じるかもしれない。

ーーーーー

この、NIST クラウド・コンピューティングプ・ログラムは、Federal 25-point IT Management Reform Plan1 および Federal Cloud Computing Strategy2 と統合されるそうです。 以下のワーキング・グループを設立したとされています:

Cloud Computing Target Business Use Cases Working Group
Cloud Computing Reference Architecture and Taxonomy Working Group
Cloud Computing Standards Roadmap Working Group
Cloud Computing SAJACC Working Group
Cloud Computing Security Working Group

ーーー __AC Stamp 2

ーーーーー

<関連>

NIST の Cloud Architecture 序文
NIST がクラウドのための Roadmap と Architecture を発表
とても重要な NIST のクラウド定義:対訳
SaaS/PaaS/IaaS とセキュリティの責任範囲 – NIST

NIST の Cloud Architecture 序文

Posted in .Chronicle, NIST by Agile Cat on October 5, 2011

NIST Cloud Computing Reference Architecture より ・・・

TAG index

9月14日に、NIST(National Institute for Standards and Technology )が発表した、NIST Cloud Computing Reference Architecture の序文を掲載します。 その発表に際しては、『 連邦政府のテクノロジー・スタンダードを策定する NIST は、クラウド・テクノロジー・モデルを採択する、各種の連邦機関を支援する継続的な政策の一部として、クラウド・コンピューティングに関する、新しい Roadmap と Reference Architecture をリリースした 』と報道されていますが、後者のリファレンス・アーキテクチャの方となります。 ーーー __AC Stamp 2

ーーーーー

image

US Government(USG)におけるクラウド・コンピューティングの導入と実装は、テクニカ/非テクニカルな要因に応じたものとなる。基本的な参照ポイントは、NIST definition of Cloud Computing に基づくものとなるが、政府機関の規模で利用可能にするために、全体的なフレームワークの記述が必要になる。このドキュメントは、コンポーネント間の正確な通信と、クラウド・コンピューティングを実現することになる、NIST Cloud Computing Reference Architecture (RA) and Taxonomy (Tax) を提供する。 RA を作成するために用いられる指針は、1)ベンダー・ニュートラルなアーキテクチャを、NIST が定義する一貫性を用いて展開していく 2) 規定されたテクニカル・ソリューションの定義により、イノベーションを抑えつける事のない、ソリューションを作成する。このソリューションは、産業界が提供するクラウドと、US Government(USG)の方針を比較/議論するための状況を作り出すだろう。 その結果としてもたらされる、クラウドコン・ピューティングのためのリファレンス・アーキテクチャとタクソノミーは、Actor/Role ベースのモデルとして作成されている。それは、Federal CIO および、Procurement Official、IT Program Manager のための、クラウド・コンピューティングの中心的な要素をレイアウトしていく。この クラウド・スケープは、オープンかつ多様なものであり、そこに付随するタクソノミーにより、これから定義されていく事柄を、明確な方式で記述していくための手段が提供される。そして RA は、2つのパートとして提出される:1つは、アクターとロールを完全にカバーする概要である。もう1つは、サービス・ディプロイメントおよび、サービス・オーケストレーション、クラウド・サービス・マネージメント、セキュリティとプライバシーといった、クラウド・サービスを管理/提供するために欠かせない、アーキテクチャ上のコンポーネントである。そのためのタクソノミーは、それ自身のセクションで提供される。また、アペンディックスは、クラウド・サービスの用語と定義に特化したものとなっている。

この Overview of the Reference Architecture が記述するのは、5 つの主要なアクターと、そのロールおよび責任であり、それらは、新しく開発された Cloud Computing Taxonomy を使用している。 そして、参加する 5つの主要なアクターとは、Cloud Consumer および、Cloud Provider、Cloud Broker、Cloud Auditor、Cloud Carrier である。 そして、それぞれのコアは、クラウド・コンピューティングの領域における主要なロールを有している。 たとえば、Cloud Consumer は、クラウドにおけるプロダクトおよびサービスを取得/使用する、個人あるいは組織となる。 そして、それらのプロダクトとサービスを提供するのが、Cloud Provider である。そこで利用可能なサービス(Software, Platform, Infrastructure) の提供は、Cloud Provider により検討されるため、コントロール/セキュリティ/コンフィグレーションの範囲について、いくつかの責任範囲が移行することになる。この Cloud Broker は、Consumer とProvider の間での仲介者としての役割を担い、また、複雑なクラウド・サービスの提供を通じてConsumer を支援し、また、付加価値の高いクラウド・サービスを作り出すだろう。 Cloud Auditor は、クラウド・サービスごとのパフォーマンスとセキュリティをモニタリングすることで、政府固有の機能を提供していく。 Cloud Carrier は、電力グリッドのディストリビュータのように、データの転送についての責任を担う組織である。

クラウドにおける、アーキテクチャ上の主要コンポーネントとして、Security and Privacy という関心事に取り組まなければならない。それにつれて、対象となるクラウドが信用と信頼を提供する能力を用いて、受け入れることが可能な雰囲気を作り出すための、確実なレベルが必要になる。また、それぞれのクラウド・サービスおよびデプロイメントのモデルのための、セキュリティに関する責任と配慮についても説明していく。

ーーーーー

良い感じで、このドキュメントの立ち位置を示していますね。 全体を通して言えることですが、一般の企業がプロダクトやサービスを売るかのような丁寧な説明により、重要なステークホルダーである米国民(企業も含む)の理解を得ようとしているように思えます。 上から目線では相手にされないことが分かっているから、このようなアプローチになるのでしょう。 ーーー __AC Stamp 2

ーーーーー

<関連>

NIST がクラウドのための Roadmap と Architecture を発表
とても重要な NIST のクラウド定義:対訳
SaaS/PaaS/IaaS とセキュリティの責任範囲 – NIST

 

NIST がクラウドのための Roadmap と Architecture を発表

Posted in .Selected, NIST by Agile Cat on September 21, 2011

NIST Releases Federal Cloud Roadmap, Architecture
By
Elizabeth Montalbano September 14, 2011
http://www.informationweek.com/news/government/cloud-saas/231601427

_ Information week Gov

ーーーーー

<関連> NIST の Cloud Architecture 序文

ーーーーー

The organization that creates technology standards for the federal government has released a new cloud computing roadmap and reference architecture as part of its continued efforts to help federal agencies adopt this technology model.

連邦政府のテクノロジー・スタンダードを策定する NIST は、クラウド・テクノロジー・モデルを採択する、各種の連邦機関を支援する継続的な政策の一部として、クラウド・コンピューティングに関する、新しいロードマップとリファレンス・アーキテクチャをリリースした。

The documents provide guidance for agencies to help understand the standards they should use when deploying clouds, as well as the categories of cloud services that can be used across the government, according to the National Institute for Standards and Technology (NIST).

このドキュメントは政府機関に提供するものとしては、クラウドをディプロイするとき使用すべきスタンダードの理解に関するガイダンスだけではなく、National Institute for Standards and Technology (NIST) に準拠する、全体的な政府機関で利用されるクラウド・サービスのカテゴリーも含まれる。

imageTop 20 Government Cloud Service Providers
Slideshow

The NIST Cloud Computing Standards Roadmap includes a standards inventory the organization will continue to update as more are created. The inventory covers standards for key features of deploying a cloud computing architecture, such as security, portability, and interoperability. It also identifies models and use cases that are relevant to cloud computing and identifies standardization priorities for the feds in the areas of security auditing and compliance, and identity and access management, according to NIST.

その、NIST Cloud Computing Standards Roadmap は、当組織が更新・策定し続ける、スタンダードの項目を取り込んでいくものとなる。 その項目は、セキュリティ/ポータビリティ/インターオペラビリティといった、クラウド・コンピューティング・アーキテクチャの、ディプロイメントに関する重要なスタンダードをカバーする。 NIST によると、それらの項目は、クラウド・コンピューティングに関する適切なモデルとユースケースを識別し、また、セキュリティの監査と遵守および、ID とアクセスの管理領域において、連邦政府職員のために正規化プライオリティを識別するものにもなる。

As the standards were developed, NIST also found gaps that still need to be covered in the areas of security and privacy protection, user interfaces, and business-oriented features, it said. The guiding principles were used to create the NIST Cloud Computing Reference Architecture, a vendor-neutral design meant to serve as a guideline for agencies, not to be followed specifically, according to NIST.

それらのスタンダードが作成されるにつれて、さらに NIST は、セキュリティとプライバシーの保護および、ユーザー・インターフェイス、ビジネス機能などの領域で、カバーされるべきギャップを探し続けていく。NIST Cloud Computing Reference Architecture を作成するために用いられた指針は、ベンダー・ニュートラルなデザインが、政府機関のためのガイドラインを担うが、明確な制約をもたらさないものと、NIST はしている。

The architecture is based on a system of the so-called “actors” in a cloud architecture–consumer, provider, broker, auditor, and carrier–and defines the roles each play. NIST hopes the industry will weigh in on the architecture and compare their cloud offerings with the one presented by the government, NIST Reference Architecture working group co-convener Robert Bohn said in a statement. “The publication is also an opportunity for industry to map their reference architecture to the one NIST developed with input from all sectors,” he said.

このアーキテクチャは、クラウ・ドアーキテクチャで「actor」と呼ばれるシステム(消費/供給/取次/監査/通信)に基づき、また、それぞれの役割を明確に実施していく。 この業界が、NIST のアーキテクチャを評価し、彼らが提供するものと、政府が提供するものを、比較することが望まれると、NIST Reference Architecture ワーキング・グループ議長である Robert Bohn はステートメントで語っている。 「 今回の発行は、すべての行政部門からインプットを用いて、NIST が策定したアーキテクチャに対して、産業界のリファレンス・アーキテクチャをマップする機会である」とも、彼は発言している。

Federal agencies look to NIST to guide them on implementing technology and the standards to support it, and cloud computing is no exception. As the federal government increasingly adopts the cloud to cut costs and create new efficiencies, NIST has slowly been publishing documents to cover the various facets of cloud computing. It will incorporate these and the new documents in its comprehensive NIST U.S. Government Cloud Computing Technology Roadmap, which it expects to release in November.

連邦政府の各機関は、自身をサポートするテクノロジーとスタンダードの実装において、NIST がガイドしてくれることに注目しているが、クラウド・コンピューティングも例外ではない。 そして、コストの削減と新たな効果をもたらすために、連邦政府がクラウドを適用を進めるにつれて、クラウド・コンピューティングの多様な局面をカバーする、各種のドキュメントを、NIST はゆっくりとしたペースで発行してきた。それらのドキュメントと、新しいドキュメントが、包括的な NIST U.S. Government Cloud Computing Technology Roadmap に取り入れられ、11月にリリースされる予定である。

NIST previously has released documents with security information for the cloud as well as a more complete set of overall guidelines.

In the new, all-digital issue of InformationWeek Government: As federal agencies close data centers, they must drive up utilization of their remaining systems. That requires a well-conceived virtualization strategy. Download the issue now

More Government Insights
Motivations for software security
Can You Use Cloud to Meet Customer Demand and Succeed?
Research: Federal Government Cloud Computing Survey
SaaS 2011: Adoption Soars, Yet Deployment Concerns Linger

 

ーーーーー

TAG index文中にもあるように、ゆっくりとしたペースで、NIST はスタンダードを発表してきますが、それはノンビリしてというものではなく、デファクトの確立を邪魔しないようにという、配慮なのだと思います。 目立たず、目立とうともせず、着々と仕事をこなしている NIST を見ると、アメリカ IT 業界の強さが、この辺りに根ざしていると感じられてきます。今回の Architecture 編は、Appendix を除くと 20ページにも満たない短編なので、ぼちぼち勉強していこうと思っています。 でも、Roadmap 編は、76ページもあるので  (なが~い)、年末を目標に読破したいです :) ーーー __AC Stamp 2

ーーーーー

<関連>

とても重要な NIST のクラウド定義:対訳
ボット と クラウド は同種であるという NIST の見解
ハイパーバイザー と 脆弱性 の関係を NIST が指摘

 

SaaS/PaaS/IaaS とセキュリティの責任範囲 – NIST

Posted in .Selected, NIST, Security by Agile Cat on April 19, 2011

言われてみれば当たり前のことですが ・・・

これは、3月に連続でポストしてきた、NIST の パブリック・クラウドに関する Security and Privacy の一部です。 前回の『 NIST による SaaS/PaaS/IaaS の最新定義 では、セキュリティの視点から見た SaaS/PaaS/IaaS を定義していました。 そして、このポストでは、それらの各モデルにおける、プロバイダーとユーザーの間での、責任範囲の分担という視点からのマトメが行われています。 考えてみれば当たり前のことなのでしょうが、その当たり前のことを、シッカリと明文化してくる NIST の努力には頭が下がります。 ーーー __AC Stamp 2

ーーーーー

以下の図が示すのは、前述のサービス・モデルで説明してきた、クラウドに加入する組織と、クラウド・プロバイダーにおける、スコープとコントロールの相違点である。図の中央には、パブリック・クラウドに該当する、一般的なクラウド環境における 5つの概念的なレイヤと、それぞれのデプロイメント・モデルが描かれている。図の両サイドの矢印は、それぞれのサービス・モデルにおける、プロバイダーとユーザーの制御を切り分ける、大まかなスコープを意味する。 一般に、クラウド・プロバイダーから提供されるサポート・レベルが幅広いと、その分だけ、クラウドに加入する組織が実施すべきスコープとコントロールは狭くなる。

下から 2つの最レイヤは、サービス・モデルの種類にかかわらず、クラウド・プロバイダーがフル・コントロールする、クラウド環境の物理的な要素を示す。物理的なプラントにおける、加熱/換気/冷房(HVAC)/電力/通信などの要素が、最下層の Facility レイヤを構成し、また、コンピュータ/ネットワークと/ストレージなどのコンポーネントと、その他の物理的コンピューティング・インフラストラクチャ要素がエレメントが Hardware レイヤを構成する。

その他の、残りのレイヤは、クラウド環境における論理的な要素を示す。 Virtualized Infrastructure レイヤは、ハイパーバイザー/仮想マシン/仮想データ・ストレージといったソフトウェア要素を必要とする。そして、このコンピューティング・プラットフォームを確立するインフラストラクチャを、具体化するためのミドルウェア・コンポーネントもサポートする。このレイヤでは、一般には仮想マシン・テクノロジーが用いられ、そこで必要とされるソフトウェアに対して、その抽象概念の提供手段を妨げないようにしている。同様に、Platform Architecture レイヤは、アプリケーションを実装するための、コンパイラ/ライブラリ/ユーティリティなどのソフトウェア・ツールを必要とする。Application レイヤは、エンドユーザーのソフトウェア・クライアントや、他のプログラムへ目標を定め、クラウドを介してディプロイされる、アプリケーション・ソフトウェアを示す。

クリックで拡大 ⇒

何人かの人々は、IaaS と PaaS の区別が曖昧であり、また、商用を目的とした提供においては、その 2つが異なるというより、よく似ていると論じている。[ Arm10 ] それにもかかわらず、これらの用語は、きわめて基本的なサポート環境と、より広範囲におよぶサポートを必要とする環境を識別し、また、クラウドに加入する企業と、クラウド・プロバイダーの管理と責任の範囲を区分するという意味で、目的を果たしている。

クラウド・コンピューティングを、組織が内部的に占有するプライベート・クラウドとして実装するのも可能であるが、その主たる推進力は、パブリック・クラウドである外部の組織へ向けて、自身の環境の一部をアウトソーシングするための、伝達手段を提供することにある。そして、あらゆる IT サービスのアウトソーシングと同様に、コンピュータのセキュリティとプライバシーという、暗黙の関心事が存在する。 そこでの重要な課題は、自らの組織におけるコンピューティング・センターの境界内から、一般大衆が容易にアクセスできる他の組織の境界内(すなわちパブリック・クラウド)に、重要なアプリケーションとデータを移動するリスクに帰結する。

コストの低減と効率を向上が、パブリック・クラウドへの移行における主要なモチベーションとなるが、セキュリティに対する責任を減らすべきではない。最終的に、クラウドへ加給する組織は、アウトソースされたサービスの、全体的なセキュリティについて責任を持つことになる。セキュリティ上の問題に対するモニタリングと取り組みは、性能や可用性といった重要な問題を監査するように、組織内に残された問題を炙り出す。クラウド・コンピューティングは新しいセキュリティの課題をもたらすため、クラウド・プロバイダーがコンピューティング環境を安全に保つ方法を、組織が監査/管理することが不可欠となり、また、データの安全を保証しなければならない。

ーーーーー

<関連>

NIST による SaaS/PaaS/IaaS の最新定義 – Jan 2011
仮想マシン・イメージの取り扱いは慎重にという、NIST からのメッセージ
ハイパーバイザーの肥大化を懸念する NIST
ハイパーバイザー と 脆弱性 の関係を NIST が指摘
ボット と クラウド は同種であるという NIST の見解
とても重要な NIST のクラウド定義:対訳

 

 

NIST による SaaS/PaaS/IaaS の最新定義 – Jan 2011

Posted in .Selected, NIST, Security by Agile Cat on March 9, 2011

あらためて、SaaS/PaaS/IaaS の定義です
http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf

ちょうど 1年ほど前のことですが、とても重要な NIST のクラウド定義(The NIST Definition of Cloud Computing)というドキュメントを訳したことがあります。 今回、訳してみた Guidelines on Security and Privacy in Public Cloud Computing は、その名のとおりパブリック・クラウドにおける セキュリティとプライバシーが論点なのですが、この点に付いても再定義しています。 翻訳作業中に、前回のものが使えればと見比べてみましたが、新たに訳した方が早いという結論に至りました orz。 視点の違いは明確ですので、以前のものと比較してみても、面白いかもしれません。 ーーー __AC Stamp 2

___space

ーーーーー

Software-as-a-Service. Software-as-a-Service (SaaS) is a model of software deployment whereby one or more applications and the computational resources to run them are provided for use on demand as a turnkey service. Its main purpose is to reduce the total cost of hardware and software development, maintenance, and operations. Security provisions are carried out mainly by the cloud provider. The cloud subscriber does not manage or control the underlying cloud infrastructure or individual applications, except for preference selections and limited administrative application settings.

Software-as-a-Service. Software-as-a-Service(SaaS)とは、オンデマンドで使用されるターンキー・サービスに対して提供される、1 種類以上のアプリケーションとコンピューティング・リソースを実行するための、ソフトウェア・ディプロイメント・モデルのことである。その主たる目的は。ハードウェアとソフトウェアの、開発/保守/運用のコストにおける全体的な低減にある。セキュリティのプロビジョニングは、主として対象となるクラウド・プロバイダにより実施される。クラウドに加入する組織は、基礎をなすクラウドのインフラストラクチャや個々のアプリケーションについて、管理/制御を行わないが、プリファレンスの選択と、アドミニストレーション運用の一部は、その限りではない。

Platform-as-a-Service. Platform-as-a-Service (PaaS) is a model of software deployment whereby the computing platform is provided as an on-demand service upon which applications can be developed and deployed. Its main purpose is to reduce the cost and complexity of buying, housing, and managing the underlying hardware and software components of the platform, including any needed program and database development tools. The development environment is typically special purpose, determined by the cloud provider and tailored to the design and architecture of its platform. The cloud subscriber has control over applications and application environment settings of the platform. Security provisions are split between the cloud provider and the cloud subscriber.

Platform-as-a-Service. Platform-as-a-Service(PaaS)とは、アプリケーションの開発とデプロイメントのためのオン・デマンド・サービスとして提供される、コンピューティング・プラットフォームとしてのソフトウェア・デプロイメント・モデルのことである。その主たる目的は、対象となるプラットフォームの基礎となるハードウェアとソフトウェアのコンポーネントに関して、その購入/配備/管理のコストと煩わしさを、開発ツールやデータベース・デプロイメントの必要性も含めて、低減することにある。一般的に、そこでの開発環境は、対象となるクラウド・プロバイダーにより決定され、プラットフォームのデザインとアーキテクチャに適合した、個別の意図を持つものとなる。クラウドに加入する組織は、そのプラットフォームにおける、アプリケーションと環境を制御できる。セキュリティのプロビジョニングは、クラウド・プロバイダーと加入者により分担される。

Infrastructure-as-a-Service. Infrastructure-as-a-Service (IaaS) is a model of software deployment whereby the basic computing infrastructure of servers, software, and network equipment is provided as an on-demand service upon which a platform to develop and execute applications can be established. Its main purpose is to avoid purchasing, housing, and managing the basic hardware and software infrastructure components, and instead obtain those resources as virtualized objects controllable via a service interface. The cloud subscriber generally has broad freedom to choose the operating system and development environment to be hosted. Security provisions beyond the basic infrastructure are carried out mainly by the cloud subscriber.

Infrastructure-as-a-Service. Infrastructure-as-a-Service(IaaS)とは、基本的なサーバー・コンピューティング・インフラストラクチャおよび、ソフトウェア、ネットワーク設備としての、ソフトウェア・ディプロイメント・モデルである。それにより、アプリケーションの開発と実行のためのプラットフォームを確立する、オン・デマンド・サービスが提供される。その主たる目的は、基礎となるハードウェアとソフトウェアのコンポーネントに関して、その購入/配備/管理を排除することである。そして、それに換えて、サービス・インターフェイスを介して制御と実現する、仮想化されたオブジェクトとしてのリソースを得ることになる。一般的に、対象となるクラウドに加入する組織は、そこでホストされるオペレーティング・システムと開発環境などを、幅広い選択肢から選ぶという自由を持つ。セキュリティのプロビジョニングは、基本的なインフラストラクチャを除いて、クラウドの加入者により実施される。

ーーーーー

<関連>
仮想マシン・イメージの取り扱いは慎重にという、NIST からのメッセージ
ハイパーバイザーの肥大化を懸念する NIST
ハイパーバイザー と 脆弱性 の関係を NIST が指摘
ボット と クラウド は同種であるという NIST の見解
とても重要な NIST のクラウド定義:対訳

仮想マシン・イメージの取り扱いは慎重にという、NIST からのメッセージ

Posted in NIST, Security by Agile Cat on March 7, 2011

おかげさまで、最後までたどり着きました ・・・
http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf

なんだかんだで、かれこれ 2週間は使ってきたと思いますが、この噛みごたえのある NIST の Security and Privacy というドキュメントの訳が、さきほどゴールにたどり着きました Smile パチ・パチ・パチ Smile (^o^)/ Smile 

全体を通じての印象ですが、その背景から、パブリックの定義、Security and Privacy の論点、そのためのアーキテクチャの考察、そしてプロバイダーとの契約についてと、懇切丁寧に説明してくれる、とても有益なドキュメントだと思います。

それにしても、このドキュメントを作るためには、膨大なリソースが投入されているはずで、アメリカ政府の本気度というものが見えてくるように思えます。 おそらく、民間のための標準化というだけの視点で、ここまでドキュメント化を進めてきたかといえば、それはあり得ないと感じます。 つまり、アメリカ連邦政府の各種機関が、本気でクラウド化を進めているからこそ生まれてきたドキュメントであり、そのお裾分けを民間の皆さんにも公開しますという主旨なのでしょう。

Amazon や、Rackspace や、Google や、Salesforce や、Microsoft などが頑張れるのも、こうした政府の後押しがあるからなのだと理解できます。 それにしても、国をあげての、すざまじい底力を感じるドキュメントです。 ーーー __AC Stamp 2

ーーーーー

Ancillary Data. While the focus of protection is placed mainly on the application data, as guardians of the realm, cloud providers hold significant details about the service users’ accounts that could be compromised and used in subsequent attacks. Payment information is one example; other, more subtle types of information, can also be involved. For example, a database of contact information stolen from a SaaS cloud provider, via a targeted phishing attack against one of its employees, was used in turn to launch successful targeted electronic mail attacks against subscribers of the cloud service [Kre07, Mcm07]. The incident illustrates the need for cloud providers to promptly report security breaches occurring not only in the data the cloud provider holds for its subscribers, but also the data it holds about its subscribers.

Ancillary Data. プロテクションにおけるフォーカスが、主としてアプリケーション・データへ向けられる一方で、このクラウドという領域の保護者であるプロバイダーが抱える、ユーザー・アカウントのための重要なサービスが、危機にさらされ、また、次の攻撃に悪用される可能性は否定できない。ペイメント情報は 1つの例であり、その他にも多数のタイプの情報が、ここでの説明の対象となり得る。たとえば、1人の従業員をターゲットにしたフィッシング攻撃により、 SaaS クラウド・プロバイダーから盗まれたコンタクト情報のデータベースが、そのクラウド・サービスの加入者に対する電子メール攻撃を開始するために、順番に使われることがあり得る。[ Kre07、Mcm07 ] この種の事件が例証するのは、サブスクライバーのために保持するデータだけではなく、サブスクライバー自身を保持するためのデータに、セキュリティ侵害が生じたときにも、クラウド・プロバイダーは直ちに報告すべきという必要性である。

Another type of ancillary data held by IaaS cloud providers is virtual machine images. A virtual machine image entails the software stack, including installed and configured applications, used to boot the virtual machine into an initial state or the state of some previous checkpoint. Sharing virtual machine images is a common practice in some cloud computing environments. Image repositories must be carefully managed and controlled to avoid problems.

IaaS クラウド・プロバイダーが保持する、もう1つの補助的なデータ・タイプは、仮想マシン・イメージである。 仮想マシンが必要とするソフトウェア・スタックには、アプリケーションのインストール/コンフィグレーションに関するイメージおよび、イニシャル・ステートで仮想ブートしたイメージ、そして、各種チェック・ポイントにおけるステートのイメージが含まれる。つまり、仮想マシン・イメージを共有することは、いくつかのクラウド・コンピューティング環境における共通のプラクティスである。したがって、問題を回避するためには、イメージ・リポジトリの厳重な管理と制御が必要となる。

The provider of an image faces risks, since an image can contain proprietary code and data and embody vulnerabilities. An attacker may attempt to examine images to determine whether they leak information or provide an avenue for attack [Wei09]. This is especially true of development images that are accidentally released. The reverse may also occur—an attacker may attempt to supply a virtual machine image containing malware to users of a cloud computing system [Jen09, Wei09].6 For example, researchers demonstrated that by manipulating the registration process to gain a first-page listing, they could readily entice cloud users to run virtual machine images they contributed to the image repository of a popular cloud provider [Mee09]. The risks for users running tainted images include theft and corruption of data.

イメージはプロプライエタリなコードとデータを含み、また、脆弱性を統合したものとも捉えられるため、イメージを保持するプロバイダーはリスクに直面する。攻撃者は、情報リークの有無を判断するために、あるいは、アタックの経路を提供するために、イメージを調べようとするかもしれない。[ Wei09 ] それは、偶発的にリリースされてしまった開発イメージにおいて、とりわけ深刻な問題となる。その逆も、また、真である。つまり、攻撃者は、マルウェアを意図的に含ませた仮想マシン・イメージを、クラウド・コンピューティング・システムのユーザーへ向けて、供給しようと企むかもしれない。[Jen09、Wei09 ]6 例をあげると、レジストレーション・プロセスを操作することで、最初のページのリストが得られることを、研究者たちは例証している。彼らは、著名なクラウド・プロバイダーのイメージ・リポジトリに、仮想マシン・イメージをコントリビュートすることで、それを実行するクラウド・ユーザーたちを容易に欺くことができた。[ Mee09 ] 不正なイメージを実行しているユーザーは、データの盗難と改竄というリスクを抱え込んでいる。

ーーーーー

これから、全体の読み直しなどを行っていきますので、そのときに面白いパートが見つかったら、また、ポストしま~す。 ーーー __AC Stamp 2

ーーーーー

<関連>
ハイパーバイザーの肥大化を懸念する NIST
ハイパーバイザー と 脆弱性 の関係を NIST が指摘
ボット と クラウド は同種であるという NIST の見解
とても重要な NIST のクラウド定義:対訳
個人情報と日米欧

ハイパーバイザーの肥大化を懸念する NIST

Posted in NIST, Security by Agile Cat on March 3, 2011

好評に気を良くして、第三弾です ・・・

 

このドキュメントに取り組み始めてから、かれこれ 2週間が経ちました。 もうヘロヘロで、疲れきっては居るのですが、すごく面白いので、もがきながらも前へ進んでいます。  ・・・ というわけで、今夜のお裾分けトピックは、ハイパーバイザーの肥大化の話です。 もちろん、パブリック・クラウドにおけるセキュリティとプライバシーの観点からですので、ビジネスと相反する論点が追求され、プロバイダーの口からは言いにくいことであっても、バシバシと斬り込んでいく小気味よさがあります。

Agile_Cat 的には、マネージメントやプロビジョニングが自動化されていくことが理想だと、信じて疑わなかったのですが、それはオンプレミスやプライベートの世界での話であり、規模の経済を標榜するパブリックでは、それとは別の理屈があるのだと思うようになってきました。 よろしければ、以下のトピックを ど~ぞ! ーーー __AC Stamp 2

ーーーーー

Hypervisor Complexity. The security of a computer system depends on the quality of the underlying software kernel that controls the confinement and execution of processes. A virtual machine monitor or hypervisor is designed to run multiple virtual machines, each hosting an operating system and applications, concurrently on a single host computer, and to provide isolation between the different guest virtual machines.

A virtual machine monitor can, in theory, be smaller and less complex than an operating system. These characteristics generally make it easier to analyze and improve the quality of security, giving a virtual machine monitor the potential to be better suited for maintaining strong isolation between guest virtual machines than an operating system is for isolating processes [Kar08]. In practice, however, modern hypervisors can be large and complex, comparable to an operating system, which negates this advantage. For example, Xen, an open source x86 virtual machine monitor, incorporates a modified Linux kernel to implement a privileged partition for input/output operations, and KVM, another open source effort, transforms a Linux kernel into a virtual machine monitor [Kar08, Sha08, Xen08]. Understanding the use of virtualization by a cloud provider is a prerequisite to understanding the security risk involved.

Hypervisor Complexity. 仮想マシン・モニターあるいはハイパーバイザーは、多数の仮想マシンを単一のホスト・コンピュータ上でコンカレントに実行し、その上でオペレーティング・システムとアプリケーションを機能させるようにデザインされているが、個々のゲスト仮想マシン間を分離させるようにも設計されている。

仮想マシン・モニターは理論上、オペレーティング・システムより小さく、また、それほど複雑にはなり得ない。一般的にみて、これらの特徴により、セキュリティにおける特性の分析と、より容易な改善が実現される。その結果として、分離のプロセスにおける仮想マシン・モニターには、オペレーティング・システムの階層というより、ゲスト仮想マシン間で、強力な分離を維持するための適応性が与えられる。[ Kar08 ] しかし、現実には、近代的なハイパーバイザーは、その規模と複雑さを増大してきており、このアドバンテージを否定するオペレーティング・システムと似てきてしまった。たとえば、オープンソース x86 仮想マシン・モニターである Xen は、修正された Linux カーネルを取り込んでおり、I/O 操作のための特権的なパーティションおよび KVM を実装している。 また、オープンソースにおける別の結果として、Linux カーネルを仮想マシンモニターに変換している。[ Kar08、Sha08、Xen08 ] 仮想化の用法をクラウド・プロバイダーが理解する際には、そこに関連するセキュリティ・リスクを、理解することが必要条件となる。

ーーーーー

それにしても、こういうドキュメントを作ってしまう NIST って、すごい底力ですね。 ーーー __AC Stamp 2

ーーーーー

<関連>
ハイパーバイザー と 脆弱性 の関係を NIST が指摘
ボット と クラウド は同種であるという NIST の見解
とても重要な NIST のクラウド定義:対訳
個人情報と日米欧

%d bloggers like this: