SuSE-IBM: az első linuxos biztonsági tanúsítvány
forrás Prim Online, 2003. augusztus 5. 22:04
[smallimage 1 left] A SuSE és az IBM bejelentették, hogy a két vállalat megkapta a "Common Criteria Security Certification" névre hallgató biztonsági tanúsítványt IBM eServer xSeriesen futó SuSE Linux Enterprise Server 8-ra. A két vállalat ezzel egy kritikus lépést tett a Linux kormányzati és vállalati, küldetéskritikus alkalmazási területeken történő felhasználása érdekében. Ez az első Linux-alapú rendszer, mely biztonsági tanúsítvánnyal rendelkezik.
A Common Criteria (CC) egy nemzetközileg elismert ISO szabvány (ISO 15408), melyet többek között az amerikai kormány, európai országok és más szervezetek használnak biztonságtechnikai minősítéshez.
A Common Criteria szabványos módon és szigorú követelményrendszerrel határozza meg, hogy minek kell felelnie egy terméknek. Elismertsége széles körökre terjed ki. Az információtechnológiai szakemberek és kormányzati szervek mellett a vállalati ügyfelek is a megbízhatóság pecsétjének is tekintik, küldetéskritikus megoldások esetén.
Az IBM eServer xSeries gépeken futó SuSE Linux Enterprise Server 8 az Evaluation Assurance Level 2+ minősítést érte el, melyet EAL2-ként is hívnak.
Az IBM és a SuSE azt is bejelentette, hogy az IBM eServer termékcsaládra célba vették a Linux magasabb szintű, Controlled Access Protection Profile (EAL3+) minősítést is, amelynek való megfelelés még ebben az évben várható.
A Common Criteria minősítésen felül az IBM eServeren futó SLES 8 még ebben az évben a Common Operating Environment (COE) szabványnak is megfelel majd, így ugyanaz a termék két követelményrendszert is teljesíteni fog.
Az utóbbi szabvány, mely egyben az amerikai védelmi minisztérium (DoD) szabványa is, a kereskedelemben kapható IT termékek használhatóságát és együttműködési képességeit határozza meg. A COE szabványt annak az ellenőrzésére használják, hogy mennyire egyezik meg egy szoftver kinézetében és kezelésében a kormányzati rendszerrel.
A COE az amerikai kormány szabványos számítástechnikai környezeteként széles körökben elterjedt és elismert.
"Az IBM és a SuSE kiváló döntése, hogy kitegye a SuSE Linux Enterprise Server terméket a Common Criteria tesztnek, kihívást jelent azon szkeptikusok számára, akik azt állítják, hogy a nyílt forráskódú operációs rendszerek nem tudnak megfelelni egy ilyen tesztnek, mivel szerintük a nyílt forráskódú környezet alkalmatlan a hasonló, szabványos folyamatokba való beilleszkedésre. Ez a bejelentés világosan mutatja az IBM elkötelezettségét egy olyan vállalati környezet mellett, mely biztonságos, költségtakarékos és nyílt," mondta Nicholas Donofrio, az IBM technológiáért és gyártásért felelős elnökhelyettese. "Ezzel a bejelentéssel megerősítjük azon elkötelezettségünket, hogy a teljes IBM eServer platformra megszerezzük a Common Criteria minősítést. Ami a legfontosabb: a Common Criteria minősítés a nyílt forráskódú szoftverek minőségéről és biztonságáról is tanúsít, nem csak kormányzati, hanem olyan ipari környezetben is, ahol a kritikus biztonsági megfelelést várnak el."
A minősítést a világ egyik vezető gyártófüggetlen IT biztonsági tanácsadó irodája, a németországi Bundesamt für Sicherheit in der Informationstechnik (BSI) által akkreditált atsec information security GmbH végezte el az IBM támogatásával.
A Common Criteria minősítésnél a szabványokban meghatározott pontokban ellenőrzésre kerül többek között a fejlesztési környezet, a biztonságtechnikai funkcionalitás, a biztonsági sebezhetőségek kezelése, a biztonsági pontok dokumentációja és a termékteszt. Az IBM xSeries gépen futó SLES 8-nál az atsec information security GmbH azt ellenőrizte, hogy a SuSE-nál hogyan zajlik a fejlesztés, a tesztelés és a termékek karbantartása, valamint azt, hogy a vállalaton belül milyen folyamatok zajlanak le egy saját terméket érintő biztonsági sebezhetőség felfedezésekor.
A SuSE és az IBM bejelentette, hogy a Common Criteria minősítés kulcsfontosságú elemeit a hónap végén közzé fogják tenni a CCeLinux konzorcium és a linuxos közösség számára. Emellett a SuSE és az IBM a jövőben is együtt fog működni a nyílt forráskódú fejlesztőkkel, hogy aktívan támogassa a Linux biztonsági fejlesztését azért, hogy a Linux még a jelen állapotánál is biztonságosabb legyen.
Azon felül, hogy az IBM elkötelezte magát amellett, hogy gyorsítsa a Linux fejlesztését és minősítését biztonságos és az ipari követelményeknek megfelelő operációs rendszerként, az IBM abba is energiát fektet, hogy új és meglévő IBM termékekhez szerezzen minősítést. A Common Criteria minősítés például az IBM premier virtualization technology termékhez (z/VM) 2004-re lett tervbe véve. Az z/VM a mainframe ügyfelek számára azt teszi lehetővé, hogy egyetlenegy zSeries szerveren több száz (vagy akár többezer) virtuális Linux szervert futtassanak. Ezen felül az IBM linuxos köztesszoftver termékcsaládjának minősítése is folyamatban van: az IBM Directory szintén most szerezte meg a Common Criteria minősítését, a WebSphere Application Server és a Tivoli Access Manager éppen minősítés alatt van, valamint további csoportmunka termékek is röviddel a minősítés előtt állnak.