IBM, SuSE: magas szintű Linux biztonsági tanúsítványok eServer rendszereken

Az IBM és a SuSE bejelentette, hogy új szintet értek el a biztonságtechnikai és az üzemeltetési tanúsítványok terén, amely hozzájárul a Linux kormányzati-szintű felhasználásához, különösen a hadügyi és védelmi feladatok területén a kritikus parancs-és-vezérlés (command-and-control) alapú műveleteknél. A SuSE Linux Enterprise Server 8 a Service Pack 3 alkalmazásával az összes IBM eServer hardveren elérte a Controlled Access Protection Profile-nak való megfelelést a Common Criteria for Information Security Evaluation (CC) alatt. Ez a megfelelés a biztonságtechnikában röviden a CAPP/EAL3+ elnevezés néven ismert.

Ez augusztus óta a legnagyobb fejlődés, mikoris az IBM és a SuSE bejelentette, hogy megkapta a világon először az első Linux biztonsági tanúsítványt. Akkor az EAL2+ tanúsítványt jelentették be az IBM eServer xSeries vonalhoz. Ma a CAPP/EAL3+ teljesítésével teljessé vált az IBM eServer termékvonal – iSeries, xSeries, pSeries és zSeries rendszerek, és természetesen az AMD Opteron-alapú rendszereinek biztonsági minősítése.

A Linux CAPP/EAL3+ tanúsítványa kiterjeszti azt a funkcionális átfogást valamint a bizalmat a Linux biztonságában, amelyet előzőleg az EAL2+ biztosított. Az új minősítés a SuSE Linux Enterprise Server 8 auditáló alrendszerén keresztül valósul meg, amely a biztonság szempontjából kritikus eseményeket auditálja. Ezenfelül, a CAPP/EAL3+ tanúsítványhoz szükséges volt még a kimerítőbb tesztelés és bevizsgálás.

Az IBM és a SuSE szintén bejelentette a SuSE Linux Enterprise Server 8 Common Operating Environment (COE) megfelelését az IBM xSeries és zSeries platformokon, amely a pSeries és iSeries gépeken is elérhető lesz 2004. első negyedében. Ez az eredmény azt jelenti, hogy a SuSE az első Linux disztribútor, amely mind a Common Criteria és a COE követelményeket is teljesíti egyazon csomagban, lehetőséget teremtve ezzel az éles környezetben lévő alkalmazások biztonságos környezetben történő futtatására. A COE egy olyan specifikáció, amelyet az Amerikai Védelmi Minisztérium (US Department of Defense) dolgozott ki, amely funkcionalitási és együttműködési követelményeket támaszt a vállalati IT termékek parancs-és-vezérlés (command-and-control) rendszereihez.

A tesztet a német Atsec információs biztonsági cég végezte el, amely vezető a gyártó-független IT biztonságtechnikai tanácsadó cégek között valamint a a Federal Office for Information Security (BSI) akkreditációjával rendelkezik. A Common Criteria (CC) egy nemzetközileg elismert ISO szabvány (ISO/IEC 15408) melyet állami és egyéb intézmények használnak a biztonsági megfelelőség felmérésére és minősítésére. A CC szabványosított utat biztosít a kiemelt biztonsági követelmények számára és definiálja a konkrét kitételeket, melyeknek a termék eleget kell hogy tegyen. A minősítés széleskörűen elismert az IT szakértők, az állami beszállítók és a küldetés-kritikus szoftverek felhasználóinak táborában.

A Common Criteria alapján a termékek tesztelésre kerülnek szigorú szabványokkal számos tulajdonságuk alapján, melyek többek között a fejlesztői környezet, biztonsági funkcionalitás, a biztonsági hibák kezelése, valamint a biztonsággal kapcsolatos dokumentációk és terméktesztelés. A SuSE Linux Enterprise Server 8 IBM eServer rendszereken történt minősítési folyamatában az Atsec információbiztonsági cég tesztelte, hogyan valósítja meg ezt a SuSE Linux a fejlesztés, a minőségbiztosítás és a karbantartás szempontjából.