Multiple single-level - Multiple single-level

Multiple single-level ou nível multi-segurança ( MSL ) é um meio para separar os diferentes níveis de dados usando computadores separados ou máquinas virtuais para cada nível. Destina-se a dar alguns dos benefícios de segurança multinível sem a necessidade de alterações especiais ao sistema operacional ou aplicações, mas ao custo de necessitar de hardware extra.

O esforço para desenvolver sistemas operacionais MLS foi severamente prejudicada pela queda dramática nos custos de processamento de dados no início de 1990. Antes do advento da computação de desktop, os usuários com requisitos de processamento classificados tinha que quer gastar muito dinheiro para um computador dedicado ou usar um que organizou um sistema operacional MLS. Ao longo da década de 1990, no entanto, muitos escritórios nas comunidades de defesa e inteligência se aproveitou de queda dos custos de computação para implantar sistemas de desktop classificados para operar apenas no nível mais alto de classificação usado em sua organização. Estes computadores desktop operado em alta sistema de modo e estavam ligados a LANs que transportavam o tráfego ao mesmo nível que os computadores.

implementações MSL como esses cuidadosamente evitado as complexidades da MLS, mas negociadas fora simplicidade técnica para uso ineficiente de espaço. Porque a maioria dos usuários em ambientes classificados também precisava de sistemas não classificados, os usuários muitas vezes tinham pelo menos dois computadores e às vezes mais (uma para processamento de categorias e um para cada nível de classificação processado). Além disso, cada computador foi ligado ao seu próprio LAN no nível de classificação apropriada, o que significa que várias plantas de cabos dedicados foram incorporados (a um custo considerável tanto em termos de instalação e de manutenção).

Limites da MSL contra MLS

A desvantagem óbvia da LSM (como comparado a MLS) é que ele não suporta imissão de vários níveis de classificação em qualquer forma. Por exemplo, a noção de concatenação de um fluxo de dados secretos (feita a partir de um arquivo secreto) com um fluxo de dados secretos SUPERIOR (ler a partir de um arquivo secreto) e dirigir o fluxo de dados secretos SUPERIOR resultante num arquivo secreto é não suportado. Em essência, um sistema MSL pode ser pensado como um conjunto de sistemas de computadores paralelos (e co-instalados), cada restrita a operação em um, e apenas um, o nível de segurança. Na verdade, os sistemas operacionais MSL individuais não podem sequer entender o conceito de níveis de segurança, uma vez que operam como sistemas de um nível. Por exemplo, enquanto um de um conjunto de collocated MSL OS pode ser configurado para apor a cadeia de caracteres "segredo" para todas as saídas, que o OS não tem entendimento de como os dados compara em sensibilidade e criticidade para os dados processados pelo seu OS peer que apõe a string "UNCLASSIFIED" a todos a sua saída.

Operando em dois ou mais níveis de segurança, em seguida, deve usar métodos estranhos à competência dos MSL "sistemas operacionais" per se, e que precisam de intervenção humana, denominado "revisão manual". Por exemplo, um independente do monitor ( não em Brinch Hansen pode ser fornecida sentido do termo 's) para suportar migração de dados entre os vários pares MSL ( por exemplo , a cópia de um ficheiro de dados a partir de pares UNCLASSIFIED para os pares secreto). Embora há requisitos rigorosos por meio de legislação federal abordar especificamente a preocupação, seria apropriado para um monitor para ser bastante pequeno, construído para o efeito, e de apoio de apenas um pequeno número de operações muito rigidamente definidos, tais como importar e exportar arquivos , configurando rótulos de saída, e outras tarefas de manutenção / administração que necessitam de um tratamento todos os pares MSL arranjados como uma unidade, em vez de sistemas individuais, como de um nível. Ele também pode ser apropriado utilizar um hypervisor arquitetura de software, tais como VMware , para fornecer um conjunto de MSL pares "OS" na forma de ambientes distintos, virtualizados suportados por um sistema operacional subjacente que só é acessível para os administradores liberado para todo o dados gerida por qualquer um dos pares. A partir de perspectivas dos usuários, cada peer iria apresentar uma de login ou X gerenciador de exibição sessão logicamente indistinguível do ambiente do usuário subjacente 'manutenção OS'.

Avanços na MSL

O custo ea complexidade envolvida na manutenção de redes distintas para cada nível de classificação liderou a Agência de Segurança Nacional (NSA) para começar a investigação de formas em que o conceito MSL de sistemas de alta sistema dedicado poderia ser preservada, reduzindo o investimento físico exigido por várias redes e computadores. Períodos de processamento foi o primeiro avanço nesta área, estabelecendo protocolos através dos quais as agências poderiam conectar um computador a uma rede em uma classificação, informações do processo, sanear o sistema, e conectá-lo a uma rede diferente com outra classificação. O modelo de períodos de processamento oferecido a promessa de um único computador, mas não fez nada para reduzir várias plantas de cabeamento e provou enormemente inconveniente para os usuários; em conformidade, a sua adopção era limitado.

Na década de 1990, a ascensão da tecnologia de virtualização mudou o campo de jogo para os sistemas MSL. De repente, era possível criar máquinas virtuais (VMs) que se comportaram como computadores independentes, mas funcionou em uma plataforma de hardware comum. Com a virtualização, NSA viu uma forma de preservar o processamento períodos em um nível virtual, não precisando mais o sistema físico a ser higienizado, realizando todo o processamento dentro dedicado, sistema de alta VMs. Para tornar o trabalho MSL em um ambiente virtual, no entanto, era necessário encontrar uma maneira de controlar com segurança o gestor de sessão virtual e garantir que nenhuma atividade comprometedora dirigida a um VM pode comprometer outro.

soluções MSL

NSA perseguido vários programas que visam a criação viável, seguro tecnologias MSL virtualização alavancagem. Até o momento, três soluções principais se materializaram.

• " Vários níveis independentes de Segurança " ou MILS, um conceito arquitectónico desenvolvido pelo Dr. John Rushby que combina segurança separação de alta segurança com separação de segurança de alta segurança. Refinamento subsequente por NSA e Naval Postgraduate School em colaboração com Laboratory Air Force Research , Lockheed Martin , Rockwell Collins , sistemas de interface Objectivo , Universidade de Idaho , Boeing , Raytheon , e MITRE resultou em uma Critérios Comuns EAL-6 + Proteção perfil para uma alta -assurance do kernel separação .
• " NetTop ", desenvolvido pela NSA em parceria com VMWare, Inc., usa Security-Enhanced Linux (SELinux) como o sistema operacional base para a sua tecnologia. O SELinux OS mantém firmemente o gerenciador de sessão virtual, que por sua vez cria máquinas virtuais para executar funções de processamento e suporte.
• O "Trusted Multi-Net", um off-the-shelf comercial sistema (COTS) com base em um modelo de thin client, foi desenvolvido em conjunto por uma coalizão indústria, incluindo Microsoft Corporation , Citrix Systems , NYTOR Technologies, VMWare, Inc., e MITRE corporação para oferecer aos usuários acesso a classificados redes e não classificados. Sua arquitetura elimina a necessidade de várias plantas de cabeamento, alavancando a criptografia para transmitir todo o tráfego através de um cabo aprovado para o nível mais elevado acessada.

Tanto o NetTop e soluções Multi-Net confiáveis ​​foram aprovados para uso. Além disso, Trusted Computer Solutions desenvolveu um produto thin-client, originalmente baseado nos conceitos de tecnologia nettop através de um acordo de licenciamento com a NSA. Este produto é chamado SecureOffice (r) Trusted Thin Client (tm), e é executado na configuração LSPP do Red Hat Enterprise Linux versão 5 (RHEL5).

Três empresas concorrentes têm implementado kernels separação MILS:

• Verde Software Hills
• LynuxWorks
• Wind River Systems

Além disso, tem havido avanços no desenvolvimento de sistemas não-MSL de virtualização através do uso de hardware especializado, o que resulta em pelo menos uma solução viável:

• A Tecnologia Starlight (agora comercializado como o link interativo System), desenvolvido pela Organização de Defesa Australiana de Ciência Tecnologia (DSTO) e Tenix Pty Ltd, usa hardware especializado para permitir aos usuários interagir com uma rede "Baixa" de uma sessão de "High" rede dentro de uma janela, sem quaisquer dados que fluem do "Alto" para a rede "Low".

aspectos filosóficos, facilidade de uso, flexibilidade

É interessante considerar as implicações filosóficas da MSL "caminho da solução." Em vez de fornecer habilidades MLS dentro de um OS clássica, a direção escolhida é a construção de um conjunto de pares "OS virtual" que podem ser gerenciados, individualmente e como um coletivo, por uma OS verdadeira subjacente. Se o sistema operacional subjacente (vamos apresentar o termo sistema operacional de manutenção , ou MOS ) é ter compreensão suficiente de semântica MLS para evitar erros graves, como a cópia de dados de um par TOP SECRET MSL a um par MSL UNCLASSIFIED, em seguida, o mosto MOS ter a capacidade de: representar rótulos; rótulos associados com entidades (aqui nós rigorosamente evitar os termos "sujeito" e "objeto"); comparar etiquetas (evitando rigorosamente o termo "monitor de referência"); distinguir entre esses contextos onde os rótulos são significativas e aqueles em que eles não são (evitando rigorosamente o termo "base de computação site" [TCB]); A lista continua. Percebe-se facilmente que a arquitetura e design questões MLS não foram eliminados, apenas adiada para um estrato separada de software que invisivelmente gere preocupações de controle de acesso para que os estratos sobrejacentes não precisa. Este conceito não é outro senão o conceito arquitectónico geminal (retirado do Relatório Anderson ) subjacente DoD estilo sistemas confiáveis em primeiro lugar.

O que foi alcançado positivamente pela abstracção conjunto-de-MSL-pares, embora, é restrição radical do âmbito de mecanismos de software MAC-cognoscentes ao pequeno, subjacente MOS. Isto foi realizado, no entanto, ao custo de eliminar quaisquer habilidades MLS práticos, mesmo os mais elementares, como quando um usuário SEGREDO-limpou acrescenta um parágrafo UNCLASSIFIED, tirado de um arquivo não classificada, a seu relatório secreto. A implementação MSL obviamente exigiria todos os recursos "reutilizável" (neste exemplo, o arquivo UNCLASSIFIED) a ser replicado em cada par MSL que pode achar que é útil, significando tanto quanto armazenamento secundário desnecessariamente gasta ou carga intolerável sobre o administrador limpou capaz de efeito tais repetições, em resposta às solicitações dos usuários para os mesmos. (Claro, desde que o usuário SEGREDO não pode "navegar" outras ofertas SEM CLASSE do sistema do que por sair e começar um sistema UNCLASSIFIED de novo, um evidências ainda outra limitação grave na funcionalidade e flexibilidade.) Alternativamente, sistemas de arquivos menos sensíveis poderia ser NFS montado somente leitura para que os usuários mais confiáveis poderiam navegar, mas não modificar, o seu conteúdo. Embora, o peer MLS OS não teriam meios reais para distinguir (via um comando de listagem de diretório, por exemplo ) que os recursos NFS-montados estão em um nível diferente de sensibilidade do que os recursos locais, e há meios rigorosos para prevenir o fluxo de subida ilegal de informações confidenciais que não seja o de força bruta, tudo-ou-nada mecanismo de somente leitura NFS de montagem.

Para demonstrar o que uma desvantagem deste efetivação drástica de "compartilhamento de arquivos em nível de cruz" realmente é, considerar o caso de um sistema MLS que suporta UNCLASSIFIED, secreto e dados Top Secret, e um TOP SECRET apuradas usuário que fizer logon no sistema a esse nível. Estruturas de diretórios MLS são construídos em torno do princípio da contenção, que, falando livremente, dita que os níveis de sensibilidade mais altos residem mais profundo na árvore: normalmente, o nível de um diretório deve igualar ou dominar a de seu pai, enquanto o nível de um arquivo (mais especificamente, de qualquer link da mesma) deve coincidir com o diretório que cataloga-lo. (Este é rigorosamente verdade da MLS UNIX: alternativas que suportam diferentes concepções de diretórios, entradas de diretório, i-nodes, etc. -como Multics , que adiciona o "ramo" abstração para seu diretório de paradigma tolerar um conjunto mais amplo de implementações alternativas .) mecanismos ortogonais são fornecidos para diretórios de spool compartilhadas publicamente e, como / tmp ou C: \ TEMP , que são automaticamente e invisivelmente-particionado pelo sistema operacional, com os pedidos dos usuários de acesso a arquivos automaticamente 'desviados' para o diretório devidamente rotulados partição. O usuário TOP SECRET é livre para navegar em todo o sistema, sua única restrição é que, enquanto estiver conectado a esse nível, ele só é permitido para criar arquivos secretos SUPERIORES frescos dentro de diretórios específicos ou seus descendentes. Em alternativa MSL, em que qualquer conteúdo navegável deve ser especificamente, laboriosamente replicados em todos os níveis aplicáveis por um administrador-significado totalmente limpo, neste caso, que todos os dados secretos devem ser replicadas para o OS pares TOP SECRET MSL, enquanto todos os dados UNCLASSIFIED deve ser replicado para tanto o SEGREDO e TOP SECRET pares-um pode facilmente perceber que, quanto mais altamente limpou o usuário, o mais frustrante sua experiência timesharing computing será.

Em um clássico confiável teórico-sistêmico-sentido confiar em terminologia e conceitos tirada do Livro Laranja , o fundamento da confiança de computação de um sistema que suporta pares MSL não poderia atingir um nível de segurança para além de (B1). Isso ocorre porque os critérios (B2) requer, entre outras coisas, tanto a identificação clara de um perímetro TCB ea existência de uma entidade única e identificável que tem a capacidade e autoridade para julgar o acesso a todos os dados representados ao longo de todos os recursos acessíveis do ADP sistema. Em um sentido muito real, então, a aplicação do termo "alta segurança" como um descritor de implementações MSL é absurda, pois o termo "alta segurança" está devidamente limitada a sistemas-e (A1) (B3) e, com alguma frouxidão ainda que, para os sistemas de (B2).

soluções de domínio cruzado

sistemas MSL, seja virtual ou físico na natureza, são projetados para preservar o isolamento entre os diferentes níveis de classificação. Consequentemente, (ao contrário dos sistemas MLS), um ambiente MSL não tem habilidades inatas para mover dados de um nível para outro.

Para permitir o compartilhamento de dados entre computadores que trabalham em diferentes níveis de classificação, tais sites implantar soluções de cross-domain (CDS), que são comumente referidos como porteiros ou guardas . Guardas, que muitas vezes alavancar tecnologias MLS-se, filtram o tráfego que flui entre redes; ao contrário de uma Internet comercial firewall , no entanto, um guarda é construído para muito mais rigorosos requisitos de garantia e sua filtragem é cuidadosamente projetado para tentar impedir qualquer vazamento indevido de informações classificadas entre LANs operando em diferentes níveis de segurança.

Diodo dados tecnologias são utilizadas extensivamente em que os fluxos de dados são obrigados a ser restringido a uma direcção entre os níveis, com um alto nível de garantia de que os dados não fluirá no sentido oposto. Em geral, estes estão sujeitos às mesmas restrições que impuseram desafios em outras soluções MLS: avaliação de segurança rigorosa ea necessidade de fornecer um equivalente eletrônico de política declarada para mover informações entre as classificações. (Informações Moving baixo no nível de classificação é particularmente desafiador e, normalmente, requer a aprovação de várias pessoas diferentes.)

A partir do final de 2005, numerosos de alta garantia de plataformas e aplicações de guarda foram aprovados para uso em ambientes classificados. Nb que o termo "alta-garantia" como empregue aqui é para ser avaliado no contexto de DCID 6/3 (ler "dee derrapar seis três"), uma guia quase técnica para a construção e utilização de vários sistemas de processamento classificadas informação, falta tanto a rigidez jurídica precisa das Livro Laranja critérios eo rigor matemático subjacente. (A Orange Book é motivado por, e obtido a partir de, uma "cadeia de raciocínio" lógico construído como se segue: [a] um estado "fixar" é matematicamente definida, e um modelo matemático é construído, as operações sobre a qual preserva o estado seguro assim que qualquer sequência concebível de operações a partir de um estado seguro produz um estado de segurança; [b] um mapeamento de primitivas judiciosamente escolhidas para as sequências de operações sobre o modelo, e [c] uma "especificação de alto nível descritiva" que mapeia as acções que podem ser transacionado na interface do usuário (como chamadas de sistema ) em seqüências de primitivos, mas parando curto de qualquer [d] formalmente demonstrando que uma implementação de software ao vivo corretamente implementa disse sequências de acções, ou [e] formalmente argumentando que o executável, agora "confiança" do sistema é gerado pela correcção, ferramentas fiáveis [ por exemplo , compiladores, bibliotecários, ligantes]).