在我最后阿宝圣,我写了关于FIPS 140-2以及它对获得该验证的产品意味着什么。这篇文章将介绍另一个主要的安全认证:通用标准。Aruba移动控制器和接入点现在已经完成了两项不同的通用标准评估,并正在进行第三项评估。这对我们的客户意味着,您现在可以在一个完全认可的解决方案中使用最新的千兆Wi-Fi标准(802.11ac)。
FIPS主要关注加密,而Common Criteria主要关注IT产品的其他安全功能。评估主要关注特定安全特性的存在,以及这些特性的正确性。示例包括加密(fips验证的产品通常在该部分获得自动“通过”)、可信通道(IPsec、TLS、SSH)、审计和日志记录、管理角色、访问控制,等等。这些都是一般的类别——特定的保护配置文件还增加了特定任务的要求:无线局域网保护配置文件中的Wi-Fi要求,VPN保护配置文件中的VPN要求,以及防火墙保护配置文件中的防火墙要求。要查看所有可用的保护配置文件,请前往https://www.niap-ccevs.org/pp/.选择其中一个,例如无线局域网接入系统PP,并快速阅读。如果你的眼睛被O.RESIDUAL_INFORMATION_CLEARING这样的术语弄得呆滞,不要害怕——我的眼睛也一样。跳过这些部分,并寻找安全性需求和基本原理部分。
但是等等——为什么我们不讨论像“EAL4”这样的术语呢?这不正是评判“共同标准”评估的黄金标准吗?不,没有了。简而言之,EALs(评估保证级别)已经消亡——至少在美国、澳大利亚、新西兰、加拿大和英国是如此。许多其他国家已经原则上同意消灭EALs,但这是一个缓慢的过程。为什么改变?你可以在这里阅读官方解释:https://www.niap-ccevs.org/NIAP_Evolution/faqs/niap_evolution/.我的非正式解释是,供应商正在编写包含大量无用额外特性的安全目标,然后生成大量支持文档来支持与这些额外特性相关的声明。结果是一组被评估的产品,终端客户很难与其他产品进行比较。NIAP还得出结论,不同的实验室以非常不同的方式进行评估,导致对需求的解释不一致。他们的回应是要求对政府撰写的保护档案进行“严格遵守”评估。供应商必须构建满足PP中100%需求的产品,并且实验室必须执行一组特定的活动(“保证活动”)来验证这些需求得到满足。最终的目标应该是清晰的、一致的和可重复的评估。
在这个过程中发生的另一个有趣的事情是商业分类解决方案(CSfC),你可以在https://www.nsa.gov/ia/programs/csfc_program/.CSfC的入学要求是一种常见的标准评价government-written PP。CSfC安全功能要求更高的酒吧被设置在一个商业产品,,旧的计划没有必要的需求称为是强制性的,比如加密熵和所需的密码组合,为例。任何完成了旧的eal式通用标准评估的供应商都必须在保护概要下重复评估,以满足CSfC的资格要求。
这就引出了我的最后一点。Aruba现在是第一个(在撰写本文时)在CSfC批准的组件清单上的唯一供应商(https://www.nsa.gov/ia/programs/csfc_program/component_list.shtml)已完成无线局域网类别所需的通用准则评估。你会在这个列表中看到许多供应商和产品,但它们都是因为参与了一个或多个由NSA直接检查产品的原型/试点。作为原型的供应商有一个时钟在滴答作响——他们必须在特定的几个月内完成所需的通用标准评估,否则他们将从名单中删除。阿鲁巴岛现在已完成评估下无线局域网访问系统页,我们的产品在WLAN接入系统类别列出现在“合法”,不再有时钟滴答滴答的时钟仍然是定时的IPsec VPN网关类别——这是我们第三次评估正在进行)。我们花了很多时间和精力才走到今天这一步,尽管我们很喜欢做“共同标准”评估,但我不得不说,我很高兴一切都结束了。当然,我们不希望(或期望)继续是名单上唯一完全兼容的供应商——这样做会破坏CSfC的供应商多样性目标。尽管如此,我认为成为第一个说明了我们对公共部门客户基础的承诺。
