.png)
Was Common Criteria ist und wie man sich zertifizieren lässt
Vor fast zwei Jahren hatte ich das Glück, als Federal Product Manager dem Illumio Team beizutreten. Die erste Aufgabe bestand darin, die erforderlichen Produktzertifizierungen zu erwerben, die von der Bundesregierung verlangt werden, darunter FIPS 140-2 und GSA Section 508-Konformität. Vor Kurzem erhielt Illumio Core eine weitere wichtige staatliche Sicherheitszertifizierung, die Common Criteria. Mit dieser Zertifizierung wurde Illumio der erste Anbieter von Unternehmenssicherheit, der nach dem Standard Protection Profile der National Information Assurance Partnership (NIAP) zertifiziert wurde Sicherheitsmanagement für Unternehmen, Richtlinienmanagement v2.1, das sich auf die Definition und Verwaltung von Zugriffskontrollrichtlinien konzentriert.
Da Regierungsbehörden (und Organisationen außerhalb des Bundes) versuchen, ihre wertvollen Ressourcen vor fortgeschrittenen, dauerhaften Bedrohungen zu schützen, müssen Sicherheit entkoppeln von der Netzwerkarchitektur bis hin zur effektiven Implementierung der hostbasierten Segmentierung hat oberste Priorität erlangt. Illumio Core trennt die Sicherheit vom Netzwerk und den Segmenten auf dem Host, sodass Kunden Segmentierungsrichtlinien erstellen und durchsetzen können, die kritische Anwendungen schützen, unabhängig davon, wo sie ausgeführt werden.
Was genau sind Common Criteria? Was sind NIAP-Schutzprofile? Und warum ist das für die Bundesregierung wichtig? Lassen Sie uns ein bisschen genauer hineingehen...
Was sind Common Criteria?
Listen mit allgemeinen Kriterien eine international anerkannte Reihe von Sicherheitsstandards, anhand derer die Informationssicherheit (IA) von IT-Produkten bewertet wird, die der Regierung von kommerziellen Anbietern angeboten werden. Das Common Criteria Recognition Arrangement (CCRA) besteht aus 30 Mitgliedsstaaten, darunter die USA, Australien, Frankreich, Großbritannien, Deutschland, die Niederlande, Südkorea und andere. IT-Produkte, die im Rahmen des CCRA bewertet wurden, werden von allen Mitgliedsstaaten gegenseitig anerkannt, sodass Unternehmen Produkte einmal bewerten und an viele Länder verkaufen können. Es ist Teil der Bewertung der Fähigkeiten und Merkmale von IT-Sicherheitsprodukten im Hinblick auf die Sicherheitsanforderungen.
Die Sicherheitsbewertung ist streng und umfassend und wird von zugelassenen unabhängigen Labors durchgeführt. Die IA-Tests dienen dazu, die Risiken zu bewerten, die mit der Verwendung, Verarbeitung, Speicherung und Übertragung von Informationen oder Daten verbunden sind, die in das zu prüfende Produkt gelangen oder aus ihm austreten. Teil des Schutzprofils ist, dass ein Produkt alle PP-Anforderungen erfüllen muss.
Es gibt einige wichtige Schlüsselkonzepte von Common Criteria:
- Sicherheitsziel: Die Fähigkeiten des zu evaluierenden Projekts müssen explizit angegeben werden
- Schutzprofil: Eine Vorlage, die für eine Reihe von Standardanforderungen für eine bestimmte Klasse verwandter Produkte verwendet wird
- Bewertungssicherungsstufen: Definieren Sie das Produkt und die Art und Weise, wie es getestet wird. Die EALs liegen zwischen 1 und 7, wobei 7 das Maximum und 1 das Minimum ist
- Ziel der Bewertung: Das System oder Gerät, das für die Common Criteria-Zertifizierung überprüft werden soll
- Funktionale Sicherheitsanforderungen: Anforderungen, die sich auf einzigartige Sicherheitsfunktionen beziehen
Bei Illumio Core konzentrierte sich ein wichtiger Teil der Bewertung auf die funktionsreichen Prüf- und Sicherheitsfunktionen. In Common Criteria definiert der Anbieter die Sicherheitsfunktionen, die nach eigenen Angaben bewertet werden sollen, indem er ein Sicherheitsziel aufstellt. Im Rahmen des Sicherheitsziels wird der Umfang der Bewertung anhand des Bewertungsziels (Target of Evaluation, TOE) festgelegt. Im Fall von Illumio Core umfasste das TOE (oder den Umfang der Bewertung) die Richtlinie Compute Engine (PCE) und die Virtueller Durchsetzungsknoten (VEN).
Was sind NIAP-Schutzprofile?
2009 aktualisierte die National Information Assurance Partnership (NIAP), das System der Vereinigten Staaten für Common Criteria-Bewertungen, ihre Richtlinien dahingehend, dass alle Common Criteria-Zertifizierungen die Sicherheitsanforderungen direkt aus den zugelassenen NIAP-Schutzprofilen erfüllen müssen. Zuvor wurden die funktionalen Anforderungen von Common Criteria von einzelnen Anbietern im Rahmen des Evaluation Assurance Level (EAL) -Frameworks definiert. Mit der Umstellung auf die NIAP-Schutzprofile sind die funktionalen Anforderungen der Common Criteria auf die Sicherheits- und Testanforderungen einer bestimmten Technologieklasse zugeschnitten (z. B. Richtlinienverwaltung, Firewalls, VPN).
Produkte, die anhand eines Schutzprofils bewertet werden, müssen die im Schutzprofil angegebenen Funktionsanforderungen zu 100% erfüllen. Es ist nicht akzeptabel, nur 99% des Schutzprofils einzuhalten — Eine vollständige und vollständige Konformität ist erforderlich, um die Zertifizierung zu bestehen. Eine Möglichkeit, Ihren Schutz zu erhöhen, besteht darin, Folgendes abzuschließen Endpunktsicherheit. Die strengen Sicherheitsanforderungen sprechen für den strengen und umfassenden Charakter der oben genannten Common Criteria-Zertifizierung. Das bringt uns also zum letzten Punkt...
Warum interessiert sich die Regierung für Common Criteria und Schutzprofile?
Zuerst, für US-Verteidigungsbehörden ist die Common Criteria-Zertifizierung in der nationalen Sicherheitspolitik NSTISSP #11 der USA vorgeschrieben, die den Erwerb von Informationssicherheits- und IA-fähigen IT-Produkten durch die US-Regierung regelt. Fazit: Wenn Sie ein IT- oder Sicherheitsanbieter sind und Produkte zum Schutz der nationalen Sicherheitssysteme (NSS) an das Verteidigungsministerium verkaufen möchten, müssen Sie über Common Criteria verfügen.
Weiter, nach Angaben der IT-Abteilung des Office of Management and Budget Dashboard, das US-Verteidigungsministerium (DoD) ist auf dem besten Weg, Geld auszugeben 38 Milliarden $ zu nicht klassifizierten IT-Aufträgen im Geschäftsjahr 2019. Eine der größten Hürden, die kommerzielle Anbieter überwinden müssen, um IT-Produkte an das Verteidigungsministerium zu verkaufen, ist die Erlangung der erforderlichen behördlichen Konformitäts- und Produktsicherheitszertifizierungen wie Common Criteria. Wie vermerkt von NIAP: „Produkte, die auf der NIAP Product Compliant List (PCL) aufgeführt sind und behaupten, den Schutzprofilen der US-Regierung zu entsprechen, erfüllen die von NIST und NSA als angemessen erachteten Mindestsicherheitsstufen und sollten generell Produkten vorgezogen werden, für die keine derartigen Angaben gemacht werden.“
Zusätzlich NIAP erklärt: „Wenn ein von der US-Regierung genehmigtes Schutzprofil für einen bestimmten Technologiebereich existiert, aber keine validierten Produkte, die dem Schutzprofil entsprechen, zur Verwendung verfügbar sind, muss das übernehmende Unternehmen vor dem Kauf verlangen, dass die Anbieter ihre Produkte zur Bewertung und Validierung einreichen... anhand des genehmigten Schutzprofils.“
Wie Sie sehen, dient die Common Criteria-Zertifizierung auf der Grundlage von NIAP-Schutzprofilen der US-Regierung als wichtige Überprüfung der IT-Konformität, wenn es um den Erwerb kommerzieller Produkte und Lösungen geht.
Zum Schluss noch ein herzliches Dankeschön und herzlichen Glückwunsch an alle Leute auf der Illumio Produkt Entwicklungs- und Ingenieurteams für diese wichtige Leistung sowie das talentierte Team von Cygnacom Solutions für ihre hervorragende Arbeit als NVLAP-Labor von Illumio.
Weitere Informationen zu den Common Criteria von Illumio und anderen staatlichen Sicherheitszertifizierungen finden Sie unter:
