.png)
Was Common Criteria ist und wie man sich zertifizieren lässt
Vor fast zwei Jahren hatte ich das Glück, dem Illumio-Team als Federal Product Manager beizutreten. Die erste Aufgabe bestand darin, die von der Bundesregierung geforderten Produktzertifizierungen zu erwerben, einschließlich der Einhaltung von FIPS 140-2 und GSA Section 508. Vor kurzem hat Illumio Core eine weitere wichtige staatliche Sicherheitszertifizierung namens Common Criteria erhalten. Mit dieser Zertifizierung ist Illumio der erste Anbieter von Unternehmenssicherheit, der nach dem National Information Assurance Partnership (NIAP) Standard Protection Profile for Enterprise Security Management, Policy Management v2.1, zertifiziert wurde, das sich auf die Definition und Verwaltung von Zugriffskontrollrichtlinien konzentriert.
Da Regierungsbehörden (und nicht-bundesstaatliche Organisationen) versuchen, ihre hochwertigen Ressourcen vor hochentwickelten hartnäckigen Bedrohungen zu schützen, ist die Notwendigkeit, die Sicherheit von der Netzwerkarchitektur zu entkoppeln , um eine hostbasierte Segmentierung effektiv einzusetzen, zu einer obersten Priorität geworden. Illumio Core trennt die Sicherheit vom Netzwerk und den Segmenten auf dem Host und ermöglicht es Kunden, Segmentierungsrichtlinien zu erstellen und durchzusetzen, die kritische Anwendungen überall dort schützen, wo sie ausgeführt werden.
Was genau ist Common Criteria? Was sind NIAP-Schutzprofile? Und warum ist das für die Bundesregierung wichtig? Schauen wir uns das genauer an...
Was ist Common Criteria?
Common Criteria listet einen international anerkannten Satz von Sicherheitsstandards auf, die zur Bewertung der Informationssicherung (Information Assurance, IA) von IT-Produkten verwendet werden, die der Regierung von kommerziellen Anbietern angeboten werden. Das Common Criteria Recognition Arrangement (CCRA) setzt sich aus 30 Mitgliedsländern zusammen, darunter die USA, Australien, Frankreich, Großbritannien, Deutschland, die Niederlande, Südkorea und andere. IT-Produkte, die im Rahmen der CCRA bewertet werden, werden von allen Mitgliedsländern gegenseitig anerkannt, so dass Unternehmen Produkte einmal bewerten und in viele Länder verkaufen können. Sie ist Teil der Evaluierung von Fähigkeiten und Funktionen für IT-Sicherheitsprodukte für Assurance-Anforderungen.
Die Sicherheitsbewertung ist streng und umfassend und wird von zugelassenen, unabhängigen Labors durchgeführt. Die IA-Tests dienen dazu, die Risiken zu bewerten, die mit der Nutzung, Verarbeitung, Speicherung und Übertragung von Informationen oder Daten verbunden sind, die in das zu bewertende Produkt ein- oder ausgehen. Teil des Schutzprofils ist, dass ein Produkt allen PP-Anforderungen entsprechen muss.
Es gibt einige wichtige Schlüsselkonzepte von Common Criteria:
- Sicherheitsziel: Die Fähigkeiten des zu evaluierenden Projekts müssen explizit angegeben werden
- Schutzprofil: Eine Vorlage, die für einen Standardsatz von Anforderungen für eine bestimmte Klasse verwandter Produkte verwendet wird
- Evaluierungssicherheitsstufen: Definieren Sie das Produkt und die Art und Weise, wie es getestet wird. Die EALs reichen von 1 bis 7, wobei 7 das Maximum und 1 das Minimum ist
- Ziel der Bewertung: Das System oder Gerät, das bzw. das für die Common Criteria-Zertifizierung überprüft werden soll
- Anforderungen an die Sicherheitsfunktionalität: Anforderungen, die sich auf einzigartige Sicherheitsfunktionen beziehen
Bei Illumio Core konzentrierte sich ein wichtiger Teil der Evaluierung auf die funktionsreichen Auditing- und Sicherheitsfunktionen. In Common Criteria definiert der Anbieter die Ansprüche auf Sicherheitsfunktionen, die durch das Entwerfen eines Sicherheitsziels bewertet werden sollen. Innerhalb des Security Target wird der Umfang der Evaluierung über das Target of Evaluation (TOE) identifiziert. Im Fall von Illumio Core umfasste der TOE (oder Scope of Evaluation) die Policy Compute Engine (PCE) und den Virtual Enforcement Node (VEN).
Was sind NIAP-Schutzprofile?
Im Jahr 2009 hat die National Information Assurance Partnership (NIAP), das US-amerikanische System für Common Criteria-Bewertungen, ihre Richtlinie dahingehend aktualisiert, dass alle Common Criteria-Zertifizierungen die Sicherheitsanforderungen direkt von genehmigten NIAP-Schutzprofilen erfüllen müssen. Zuvor wurden die funktionalen Anforderungen der Common Criteria von einzelnen Anbietern über das Evaluation Assurance Level (EAL)-Framework definiert. Mit der Umstellung auf NIAP-Schutzprofile werden die funktionalen Anforderungen der Common Criteria auf die Sicherheits- und Testanforderungen einer bestimmten Technologieklasse (z. B. Richtlinienverwaltung, Firewalls, VPN) zugeschnitten.
Produkte, die einer Bewertung anhand eines Schutzprofils unterzogen werden, müssen zu 100 % den im Schutzprofil festgelegten funktionalen Anforderungen entsprechen. Es ist nicht akzeptabel, nur 99 % des Schutzprofils einzuhalten – eine vollständige und vollständige Einhaltung ist erforderlich, um die Zertifizierung zu bestehen. Eine Möglichkeit, Ihren Schutz zu verbessern, ist die vollständige Endpunktsicherheit. Die strengen Sicherheitsanforderungen sprechen für den strengen und umfassenden Charakter der oben erwähnten Common Criteria-Zertifizierung. Womit wir beim letzten Punkt wären...
Warum kümmert sich die Regierung um Common Criteria und Schutzprofile?
Erstens ist die Common Criteria-Zertifizierung für US-Verteidigungsbehörden durch die nationale Sicherheitspolitik der USA NSTISSP #11 vorgeschrieben, die den Erwerb von Informationssicherungs- und IA-fähigen IT-Produkten durch die US-Regierung regelt. Fazit: Wenn Sie ein IT- oder Sicherheitsanbieter sind, der Produkte an das DoD verkaufen möchte, um die National Security Systems (NSS) zu schützen, müssen Sie über Common Criteria verfügen.
Laut dem IT-Dashboard des Office of Management and Budget ist das US-Verteidigungsministerium (DoD) auf dem besten Weg, im Geschäftsjahr 2019 38 Milliarden US-Dollar für nicht klassifizierte IT-Verträge auszugeben. Eine der größten Hürden, die kommerzielle Anbieter überwinden müssen, um IT-Produkte an das DoD zu verkaufen, ist das Erreichen der erforderlichen behördlichen Compliance- und Produktsicherheitszertifizierungen, wie z. B. Common Criteria. Wie von NIAP angemerkt: "Produkte, die auf der NIAP Product Compliant List (PCL) aufgeführt sind und die Konformität mit den Schutzprofilen der US-Regierung beanspruchen, erfüllen die Mindestsicherheitsstufen, die von NIST und NSA als angemessen erachtet werden, und sollten im Allgemeinen gegenüber Produkten bevorzugt werden, die keine solchen Behauptungen aufstellen."
Darüber hinaus heißt es in der NIAP : "Wenn für einen bestimmten Technologiebereich ein von der US-Regierung genehmigtes Schutzprofil vorhanden ist, aber keine validierten Produkte, die dem Schutzprofil entsprechen, zur Verwendung verfügbar sind, muss die erwerbende Organisation vor dem Kauf verlangen, dass die Anbieter ihre Produkte zur Bewertung und Validierung einreichen ... gegen das zugelassene Schutzprofil."
Wie Sie sehen können, dient die Common Criteria-Zertifizierung auf der Grundlage von NIAP-Schutzprofilen als wichtige IT-Compliance-Prüfung für die US-Regierung, wenn es um den Erwerb kommerzieller Produkte und Lösungen geht.
Abschließend geht ein herzlicher Dank und Glückwunsch an alle Mitarbeiter der Produktentwicklungs- und Engineering-Teams von Illumio für diese wichtige Leistung sowie an das talentierte Team von Cygnacom Solutions für ihre hervorragende Arbeit als NVLAP-Labor von Illumio.
Weitere Informationen zu den Common Criteria von Illumio und anderen staatlichen Sicherheitszertifizierungen finden Sie unter:
.webp)
