.png)
Was Common Criteria ist und wie man sich zertifizieren lässt
Vor fast zwei Jahren hatte ich das Glück, dem Illumio-Team als Federal Product Manager beizutreten. Zunächst mussten die von der Bundesregierung geforderten Produktzertifizierungen eingeholt werden, darunter die Einhaltung von FIPS 140-2 und GSA Section 508. Kürzlich erhielt Illumio Core eine weitere wichtige staatliche Sicherheitszertifizierung namens Common Criteria. Mit dieser Zertifizierung wurde Illumio der erste Anbieter von Unternehmenssicherheitslösungen, der die Konformität mit dem Standard Protection Profile for Enterprise Security Management, Policy Management v2.1 der National Information Assurance Partnership (NIAP) erhielt, der sich auf die Definition und Verwaltung von Zugriffskontrollrichtlinien konzentriert.
Da Regierungsbehörden (und nicht-staatliche Organisationen) bestrebt sind, ihre wertvollen Vermögenswerte vor fortgeschrittenen persistenten Bedrohungen zu schützen, ist die Notwendigkeit, die Sicherheit von der Netzwerkarchitektur zu entkoppeln , um eine hostbasierte Segmentierung effektiv einsetzen zu können, zu einer Top-Priorität geworden. Illumio Core trennt die Sicherheit vom Netzwerk und segmentiert auf Host-Ebene, wodurch Kunden Segmentierungsrichtlinien erstellen und durchsetzen können, die kritische Anwendungen unabhängig von ihrem Ausführungsort schützen.
Was genau ist Common Criteria? Was sind NIAP-Schutzprofile? Und warum ist das für die Bundesregierung wichtig? Schauen wir uns das genauer an...
Was ist Common Criteria?
Common Criteria listet eine international anerkannte Reihe von Sicherheitsstandards auf, die zur Bewertung der Informationssicherheit (IA) von IT-Produkten verwendet werden, die von kommerziellen Anbietern der Regierung angeboten werden. Das Common Criteria Recognition Arrangement (CCRA) besteht aus 30 Mitgliedstaaten, darunter die USA, Australien, Frankreich, Großbritannien, Deutschland, die Niederlande, Südkorea und andere. Die im Rahmen des CCRA bewerteten IT-Produkte werden von allen Mitgliedstaaten gegenseitig anerkannt, sodass Unternehmen die Produkte einmal bewerten und in vielen Ländern verkaufen können. Es ist Teil der Bewertung der Fähigkeiten und Funktionen von IT-Sicherheitsprodukten im Hinblick auf die Anforderungen an die Qualitätssicherung.
Die Sicherheitsbewertung ist streng und umfassend und wird von zugelassenen, unabhängigen Labors durchgeführt. Die IA-Tests dienen dazu, die Risiken zu bewerten, die mit der Nutzung, Verarbeitung, Speicherung und Übertragung von Informationen oder Daten verbunden sind, die in das zu bewertende Produkt ein- oder ausgehen. Teil des Schutzprofils ist, dass ein Produkt allen PP-Anforderungen entsprechen muss.
Es gibt einige wichtige Schlüsselkonzepte von Common Criteria:
- Sicherheitsziel: Die Fähigkeiten des zu evaluierenden Projekts müssen explizit angegeben werden
- Schutzprofil: Eine Vorlage, die für einen Standardsatz von Anforderungen für eine bestimmte Klasse verwandter Produkte verwendet wird
- Evaluierungssicherheitsstufen: Definieren Sie das Produkt und die Art und Weise, wie es getestet wird. Die EALs reichen von 1 bis 7, wobei 7 das Maximum und 1 das Minimum ist
- Ziel der Bewertung: Das System oder Gerät, das bzw. das für die Common Criteria-Zertifizierung überprüft werden soll
- Anforderungen an die Sicherheitsfunktionalität: Anforderungen, die sich auf einzigartige Sicherheitsfunktionen beziehen
Bei Illumio Core lag ein wichtiger Teil der Evaluierung auf dem umfangreichen Funktionsumfang der Überwachungs- und Sicherheitsfunktionen. Bei Common Criteria definiert der Anbieter die zu bewertenden Sicherheitsfunktionalitätsansprüche durch die Ausarbeitung eines Sicherheitsziels. Innerhalb des Sicherheitsziels wird der Umfang der Evaluierung über das Evaluierungsziel (Target of Evaluation, TOE) festgelegt. Im Fall von Illumio Core umfasste der Bewertungsbereich (TOE) die Policy Compute Engine (PCE) und den Virtual Enforcement Node (VEN).
Was sind NIAP-Schutzprofile?
Im Jahr 2009 hat die National Information Assurance Partnership (NIAP), das US-amerikanische System für Common Criteria-Bewertungen, ihre Richtlinie dahingehend aktualisiert, dass alle Common Criteria-Zertifizierungen die Sicherheitsanforderungen direkt von genehmigten NIAP-Schutzprofilen erfüllen müssen. Zuvor wurden die funktionalen Anforderungen der Common Criteria von einzelnen Anbietern über das Evaluation Assurance Level (EAL)-Framework definiert. Mit der Umstellung auf NIAP-Schutzprofile werden die funktionalen Anforderungen der Common Criteria auf die Sicherheits- und Testanforderungen einer bestimmten Technologieklasse (z. B. Richtlinienverwaltung, Firewalls, VPN) zugeschnitten.
Produkte, die einer Bewertung anhand eines Schutzprofils unterzogen werden, müssen zu 100 % den im Schutzprofil festgelegten funktionalen Anforderungen entsprechen. Es ist nicht akzeptabel, nur 99 % des Schutzprofils einzuhalten – eine vollständige und vollständige Einhaltung ist erforderlich, um die Zertifizierung zu bestehen. Eine Möglichkeit, Ihren Schutz zu verbessern, ist die vollständige Endpunktsicherheit. Die strengen Sicherheitsanforderungen sprechen für den strengen und umfassenden Charakter der oben erwähnten Common Criteria-Zertifizierung. Womit wir beim letzten Punkt wären...
Warum kümmert sich die Regierung um Common Criteria und Schutzprofile?
Erstens ist die Common Criteria-Zertifizierung für US-Verteidigungsbehörden durch die nationale Sicherheitspolitik der USA NSTISSP #11 vorgeschrieben, die den Erwerb von Informationssicherungs- und IA-fähigen IT-Produkten durch die US-Regierung regelt. Fazit: Wenn Sie ein IT- oder Sicherheitsanbieter sind, der Produkte an das DoD verkaufen möchte, um die National Security Systems (NSS) zu schützen, müssen Sie über Common Criteria verfügen.
Dem IT- Dashboard des Office of Management and Budget zufolge wird das US-Verteidigungsministerium (DoD) im Fiskaljahr 2019 voraussichtlich 38 Milliarden Dollar für nicht klassifizierte Informationstechnologieverträge ausgeben. Eine der größten Hürden, die kommerzielle Anbieter überwinden müssen, um IT-Produkte an das US-Verteidigungsministerium zu verkaufen, ist die Erfüllung der erforderlichen staatlichen Compliance- und Produktsicherheitszertifizierungen wie beispielsweise Common Criteria. Wie NIAP feststellte: „Produkte, die auf der NIAP Product Compliant List (PCL) aufgeführt sind und die Einhaltung der Schutzprofile der US-Regierung beanspruchen, erfüllen die von NIST und NSA als angemessen erachteten Mindestsicherheitsniveaus und sollten im Allgemeinen gegenüber Produkten bevorzugt werden, die keine solchen Ansprüche erheben.“
Darüber hinaus heißt es in der NIAP : "Wenn für einen bestimmten Technologiebereich ein von der US-Regierung genehmigtes Schutzprofil vorhanden ist, aber keine validierten Produkte, die dem Schutzprofil entsprechen, zur Verwendung verfügbar sind, muss die erwerbende Organisation vor dem Kauf verlangen, dass die Anbieter ihre Produkte zur Bewertung und Validierung einreichen ... gegen das zugelassene Schutzprofil."
Wie Sie sehen können, dient die Common Criteria-Zertifizierung auf der Grundlage von NIAP-Schutzprofilen als wichtige IT-Compliance-Prüfung für die US-Regierung, wenn es um den Erwerb kommerzieller Produkte und Lösungen geht.
Abschließend geht ein herzlicher Dank und Glückwunsch an alle Mitarbeiter der Produktentwicklungs- und Engineering-Teams von Illumio für diese wichtige Leistung sowie an das talentierte Team von Cygnacom Solutions für ihre hervorragende Arbeit als NVLAP-Labor von Illumio.
Weitere Informationen zu den Common Criteria von Illumio und anderen staatlichen Sicherheitszertifizierungen finden Sie unter:
