SG.hu
A SuSE és az IBM megszerezték az első linuxos biztonsági tanúsítványt
A SuSE és az IBM bejelentették, hogy a két vállalat megkapta a "Common Criteria Security Certification" névre hallgató biztonsági tanúsítványt IBM eServer xSeriesen futó SuSE Linux Enterprise Server 8-ra. A két vállalat ezzel egy kritikus lépést tett a Linux kormányzati és vállalati, küldetéskritikus alkalmazási terülteken történő felhasználása érdekében. Ez az első Linux alapú rendszer, mely biztonsági tanúsítvánnyal rendelkezik.
A Common Criteria (CC) egy nemzetközileg elismert ISO szabvány (ISO 15408), melyet többek között az amerikai kormány, európai országok és más szervezetek használnak biztonságtechnikai minősítéséhez. A Common Criteria szabványos módon és szigorú követelményrendszerrel határozza meg, hogy minek kell felelnie egy terméknek. Elismertsége széleskörű. Az információ-technológiai szakemberek és kormányzati szervek mellett a vállalati ügyfelek is a megbízhatóság pecsétjének is tekintik, küldetéskritikus megoldások esetén.
"Nagyon örülünk, hogy a SuSE és az IBM közös erőfeszítésének köszönhetően a Linux elérte ezt a mérföldkövet a biztonságtechnikában," mondta Fritz Schulz a Defense Information Systems Agency-től. "A Common Criteria minősítés kritikus szemponttá válik a Linux küldetéskritikus környezetekben történő felhasználásakor."
Az IBM eServer xSeries gépeken futó SuSE Linux Enterprise Server 8 az Evaluation Assurance Level 2+ minősítést érte el, melyet EAL2-ként is hívnak. Az IBM és a SuSE azt is bejelentette, hogy az IBM eServer termékcsaládra célba vették a Linux magasabb szintű, Controlled Access Protection Profile (EAL3+) minősítést is, amelynek való megfelelés még ebben az évben várható.
A Common Criteria minősítésen felül az IBM eServeren futó SLES 8 még ebben az évben a Common Operating Environment (COE) szabványnak is megfelel majd, így ugyanaz a termék két követelményrendszert is teljesít majd. Az utóbbi szabvány, mely egyben az amerikai védelmi minisztérium (DoD) szabványa is, a kereskedelemben kapható IT termékek használhatóságát és együttműködési képességeit határozza meg. A COE szabványt annak az ellenőrzésére használják, hogy mennyire egyezik meg egy szoftver kinézetében és kezelésében a kormányzati rendszerrel. A COE az amerikai kormány szabványos számítástechnikai környezeteként széles körökben elterjedt és elismert.
"Az IBM és a SuSE kiváló döntése, hogy kitegye a SuSE Linux Enterprise Server terméket a Common Criteria tesztnek, kihívást jelent azon szkeptikusok számára, akik azt állítják, hogy a nyílt forráskódú operációs rendszerek nem tudnak megfelelni egy ilyen tesztnek, mivel szerintük a nyílt forráskódú környezet alkalmatlan a hasonló, szabványos folyamatokba való beilleszkedésre. Ez a bejelentés világosan mutatja az IBM elkötelezettségét egy olyan vállalati környezet mellett, mely biztonságos, költségtakarékos és nyílt," mondta Nicholas Donofrio, az IBM technológiáért és gyártásért felelős elnökhelyettese. "Ezzel a bejelentéssel megerősítjük azon elkötelezettségünket, hogy a teljes IBM eServer platformra megszerezzük a Common Criteria minősítést. Ami a legfontosabb: a Common Criteria minősítés a nyílt forráskódú szoftverek minőségéről és biztonságáról is tanúsít, nemcsak kormányzati, hanem olyan ipari környezetben is, ahol a kritikus biztonsági megfelelést várnak el."
"A SuSE a világ egyetlen, nyílt forráskódú szoftvereket gyártó vállalata, amely a Common Criteria minősítésen keresztül megmutatta, hogy egy követhető minőségbiztosítási folyamaton keresztül a biztonsági kockázatokat ellenőrizni és minimumra lehet csökkenteni," jelentette ki Richard Seibt, a SuSE Linux vezérigazgatója. "A Common Criteria minősítés egy új csúcsot jelent a SuSE számára, mely a jövőben is meg tudja nyugtatni vállalatokat a SuSE Linux Enterprise Server magas minőségéről és biztonságáról."
A minősítést a világ egyik vezető gyártófüggetlen IT biztonsági tanácsadó irodája, a németországi Bundesamt für Sicherheit in der Informationstechnik (BSI) által akkreditált atsec information security GmbH végezte el az IBM támogatásával.
A Common Criteria minősítésnél a szabványokban meghatározott pontokban ellenőrzik többek között a fejlesztési környezet, a biztonságtechnikai funkcionalitás, a biztonsági sebezhetőségek kezelése, a biztonsági pontok dokumentációja és a termékteszt. Az IBM xSeries gépen futó SLES 8-nál az atsec information security GmbH azt ellenőrizte, hogy a SuSE-nál hogyan zajlik a fejlesztés, a tesztelés és a termékek karbantartása, valamint azt, hogy a vállalaton belül milyen folyamatok zajlanak le egy saját terméket érintő biztonsági sebezhetőség felfedezésekor.
A SuSE és az IBM bejelentette, hogy a Common Criteria minősítés kulcsfontosságú elemeit a hónap végén közzé fogják tenni a CCeLinux konzorcium és a linuxos közösség számára. Emellett a SuSE és az IBM a jövőben is együtt fog működni a nyílt forráskódú fejlesztőkkel, hogy aktívan támogassa a Linux biztonsági fejlesztését azért, hogy a Linux még a jelen állapotánál is biztonságosabb legyen.
"Gratulálunk a SuSE-nek és az IBM-nek az információ biztonsága melletti elkötelezettségükért, melyről a SuSE Linux Enterprise Server 8 sikeres tesztelése és minősítése tanúskodik. Ezzel a termék azon kereskedelmi termékek bővülő listájához csatlakozik, melyek a Common Criteria nemzetközi biztonságtechnikai szabványnak megfelelnek, és melyek azon a termékelemek megbízhatóságát növelik, amelyekből még biztonságosabb információs rendszereket lehet építeni a szövetségi kormány számára", mondta Ron S. Ross, a National Institute of Standards and Technology-tól.
Azon felül, hogy az IBM elkötelezte magát amellett, hogy gyorsítsa a Linux fejlesztését és minősítését biztonságos és az ipari követelményeknek megfelelő operációs rendszerként, az IBM abba is energiát fektet, hogy új és meglévő IBM termékekhez szerezzen minősítést. A Common Criteria minősítés például az IBM premier virtualization technology termékhez (z/VM) 2004-re lett tervbe véve. Az z/VM a mainframe ügyfelek számára azt teszi lehetővé, hogy egyetlenegy zSeries szerveren több száz (vagy akár több ezer) virtuális Linux szervert futtassanak. Ezen felül az IBM linuxos köztesszoftver termékcsaládjának minősítése is folyamatban van: az IBM Directory szintén most szerezte meg a Common Criteria minősítését, a WebSphere Application Server és a Tivoli Access Manager éppen minősítés alatt van, valamint további csoportmunka termékek is röviddel a minősítés előtt állnak.
A Common Criteria (CC) egy nemzetközileg elismert ISO szabvány (ISO 15408), melyet többek között az amerikai kormány, európai országok és más szervezetek használnak biztonságtechnikai minősítéséhez. A Common Criteria szabványos módon és szigorú követelményrendszerrel határozza meg, hogy minek kell felelnie egy terméknek. Elismertsége széleskörű. Az információ-technológiai szakemberek és kormányzati szervek mellett a vállalati ügyfelek is a megbízhatóság pecsétjének is tekintik, küldetéskritikus megoldások esetén.
"Nagyon örülünk, hogy a SuSE és az IBM közös erőfeszítésének köszönhetően a Linux elérte ezt a mérföldkövet a biztonságtechnikában," mondta Fritz Schulz a Defense Information Systems Agency-től. "A Common Criteria minősítés kritikus szemponttá válik a Linux küldetéskritikus környezetekben történő felhasználásakor."
Az IBM eServer xSeries gépeken futó SuSE Linux Enterprise Server 8 az Evaluation Assurance Level 2+ minősítést érte el, melyet EAL2-ként is hívnak. Az IBM és a SuSE azt is bejelentette, hogy az IBM eServer termékcsaládra célba vették a Linux magasabb szintű, Controlled Access Protection Profile (EAL3+) minősítést is, amelynek való megfelelés még ebben az évben várható.
A Common Criteria minősítésen felül az IBM eServeren futó SLES 8 még ebben az évben a Common Operating Environment (COE) szabványnak is megfelel majd, így ugyanaz a termék két követelményrendszert is teljesít majd. Az utóbbi szabvány, mely egyben az amerikai védelmi minisztérium (DoD) szabványa is, a kereskedelemben kapható IT termékek használhatóságát és együttműködési képességeit határozza meg. A COE szabványt annak az ellenőrzésére használják, hogy mennyire egyezik meg egy szoftver kinézetében és kezelésében a kormányzati rendszerrel. A COE az amerikai kormány szabványos számítástechnikai környezeteként széles körökben elterjedt és elismert.
"Az IBM és a SuSE kiváló döntése, hogy kitegye a SuSE Linux Enterprise Server terméket a Common Criteria tesztnek, kihívást jelent azon szkeptikusok számára, akik azt állítják, hogy a nyílt forráskódú operációs rendszerek nem tudnak megfelelni egy ilyen tesztnek, mivel szerintük a nyílt forráskódú környezet alkalmatlan a hasonló, szabványos folyamatokba való beilleszkedésre. Ez a bejelentés világosan mutatja az IBM elkötelezettségét egy olyan vállalati környezet mellett, mely biztonságos, költségtakarékos és nyílt," mondta Nicholas Donofrio, az IBM technológiáért és gyártásért felelős elnökhelyettese. "Ezzel a bejelentéssel megerősítjük azon elkötelezettségünket, hogy a teljes IBM eServer platformra megszerezzük a Common Criteria minősítést. Ami a legfontosabb: a Common Criteria minősítés a nyílt forráskódú szoftverek minőségéről és biztonságáról is tanúsít, nemcsak kormányzati, hanem olyan ipari környezetben is, ahol a kritikus biztonsági megfelelést várnak el."
"A SuSE a világ egyetlen, nyílt forráskódú szoftvereket gyártó vállalata, amely a Common Criteria minősítésen keresztül megmutatta, hogy egy követhető minőségbiztosítási folyamaton keresztül a biztonsági kockázatokat ellenőrizni és minimumra lehet csökkenteni," jelentette ki Richard Seibt, a SuSE Linux vezérigazgatója. "A Common Criteria minősítés egy új csúcsot jelent a SuSE számára, mely a jövőben is meg tudja nyugtatni vállalatokat a SuSE Linux Enterprise Server magas minőségéről és biztonságáról."
A minősítést a világ egyik vezető gyártófüggetlen IT biztonsági tanácsadó irodája, a németországi Bundesamt für Sicherheit in der Informationstechnik (BSI) által akkreditált atsec information security GmbH végezte el az IBM támogatásával.
A Common Criteria minősítésnél a szabványokban meghatározott pontokban ellenőrzik többek között a fejlesztési környezet, a biztonságtechnikai funkcionalitás, a biztonsági sebezhetőségek kezelése, a biztonsági pontok dokumentációja és a termékteszt. Az IBM xSeries gépen futó SLES 8-nál az atsec information security GmbH azt ellenőrizte, hogy a SuSE-nál hogyan zajlik a fejlesztés, a tesztelés és a termékek karbantartása, valamint azt, hogy a vállalaton belül milyen folyamatok zajlanak le egy saját terméket érintő biztonsági sebezhetőség felfedezésekor.
A SuSE és az IBM bejelentette, hogy a Common Criteria minősítés kulcsfontosságú elemeit a hónap végén közzé fogják tenni a CCeLinux konzorcium és a linuxos közösség számára. Emellett a SuSE és az IBM a jövőben is együtt fog működni a nyílt forráskódú fejlesztőkkel, hogy aktívan támogassa a Linux biztonsági fejlesztését azért, hogy a Linux még a jelen állapotánál is biztonságosabb legyen.
"Gratulálunk a SuSE-nek és az IBM-nek az információ biztonsága melletti elkötelezettségükért, melyről a SuSE Linux Enterprise Server 8 sikeres tesztelése és minősítése tanúskodik. Ezzel a termék azon kereskedelmi termékek bővülő listájához csatlakozik, melyek a Common Criteria nemzetközi biztonságtechnikai szabványnak megfelelnek, és melyek azon a termékelemek megbízhatóságát növelik, amelyekből még biztonságosabb információs rendszereket lehet építeni a szövetségi kormány számára", mondta Ron S. Ross, a National Institute of Standards and Technology-tól.
Azon felül, hogy az IBM elkötelezte magát amellett, hogy gyorsítsa a Linux fejlesztését és minősítését biztonságos és az ipari követelményeknek megfelelő operációs rendszerként, az IBM abba is energiát fektet, hogy új és meglévő IBM termékekhez szerezzen minősítést. A Common Criteria minősítés például az IBM premier virtualization technology termékhez (z/VM) 2004-re lett tervbe véve. Az z/VM a mainframe ügyfelek számára azt teszi lehetővé, hogy egyetlenegy zSeries szerveren több száz (vagy akár több ezer) virtuális Linux szervert futtassanak. Ezen felül az IBM linuxos köztesszoftver termékcsaládjának minősítése is folyamatban van: az IBM Directory szintén most szerezte meg a Common Criteria minősítését, a WebSphere Application Server és a Tivoli Access Manager éppen minősítés alatt van, valamint további csoportmunka termékek is röviddel a minősítés előtt állnak.