Linux
Certificaciones de seguridad
21 de enero de 2004
SUSE Linux Enterprise Server 8 con Service Pack 3 en las plataformas IBM eServer ha obtenido la primera certificación Common Criteria CAPP/EAL3+ del mundo para un sistema operativo de código abierto.
Lea el comunicado de prensa completo...
En diciembre de 2003, cinco meses después de emitir la primera certificación Common Criteria para un sistema operativo de código abierto (CC-EAL2 para SUSE Linux Enterprise Server 8), la BSI (Oficina federal de seguridad de la información), con base en Bonn, Alemania, ha adjudicado una nueva certificación. La evaluación de SUSE Linux Enterprise Server 8 con Service Pack 3 se ha llevado a cabo satisfactoriamente mediante Common Criteria for IT Security Evaluation 2.1 y ha obtenido la certificación EAL3 (Nivel de garantía de evaluación 3), incrementada por Life Cycle Support (asistencia en relación con el ciclo de vida) y Basic Flaw Remediation (corrección de errores básicos). Las dos adiciones anteriores al perfil de protección quedan reflejadas por el signo "+" en EAL3+.
Además de hacer referencia a la plataforma Intel i386 (IBM xSeries), la certificación EAL3+ se ha emitido para el resto de las plataformas IBM eServer: la plataforma i- y pSeries (ppc), zSeries (s390 mainframe) y la plataforma AMD de 64 bits, conocida como Opteron (x86_64). El producto se ha evaluado de acuerdo con el CAPP (Perfil de protección de acceso controlado).
El CAPP requiere la aplicación de un subsistema de auditoría implementado por Olaf Kirch y Thomas Biege, miembros del equipo de seguridad de SUSE. El software complementario se llama LAuS (Subsistema de auditoría de Linux) y se distribuye bajo los términos de la licencia GNU GPL (Licencia pública general de GNU). El subistema puede configurarse en gran medida y es capaz de realizar un seguimiento (registro) de sucesos de seguridad críticos en el sistema, con lo que proporciona un nivel de transparencia mejorado en relación con los aspectos de seguridad del sistema en el que se ejecuta. Próximamente, publicaremos el enlace al código abierto del paquete LAuS.
La evaluación la ha completado atsec information security GmbH, una de las empresas de consultoría y evaluación de seguridad de TI independiente líder del mercado y acreditada en Alemania por la BSI. Con el patrocinio de IBM Corporation, la evaluación representa otro gran adelanto en la seguridad del código abierto.
La certificación de seguridad Common Criteria no solamente exige la existencia de funciones de seguridad del sistema operativo sino que, además, requiere el establecimiento de determinados procesos y procedimientos por parte del distribuidor del mismo. Los profesionales de seguridad solían dudar que los sistemas operativos de código abierto pudiesen recibir la certificación por la dificultad inherente al establecimiento de procesos definidos en la comunidad de código abierto. Después de que la emisión de la certificación EAL2 en julio de 2004 probara lo contrario, la nueva certificación EAL3+ con observación absoluta del CAPP demuestra que el software de código abierto puede conseguir incluso niveles superiores de garantía.
Acerca de la certificación Common Criteria y la evaluación de SLES8:
La certificación Common Criteria for IT Security Evaluation proporciona una serie de principios y conceptos para la evaluación de seguridad de TI. Su objetivo consiste en homogeneizar los métodos de evaluación de seguridad de TI para poder determinar y comparar fácilmente la confianza en la seguridad de productos de TI, lo que contribuye a niveles superiores de confianza del consumidor en este aspecto.
Un laboratorio acreditado independiente realiza la evaluación de acuerdo con los requisitos proporcionados y definidos por el perfil de protección, el objetivo de seguridad y el nivel de garantía de evaluación. El laboratorio elabora ETR (Informes técnicos de evaluación) para presentarlos al organismo de certificación. Este organismo (con acreditación de ámbito internacional) se encarga de verificar que el laboratorio ha realizado la evaluación de la forma apropiada y comprueba los resultados incluidos en los ETR. Si se cumplen todos los requisitos, se emite la certificación oportuna.
SUSE Linux Enterprise Server 8 es el primer sistema operativo de código abierto en recibir la certificación Common Criteria EAL3, lo que abre las puertas a una amplia gama de campos de aplicación para el software de código abierto. La certificación demuestra la aptitud para el mercado empresarial tanto del producto como de los procesos del distribuidor en cuanto a desarrollo, mantenimiento y asistencia técnica. Esto reduce el riesgo de la inversión para las empresas que se disponen a poner en práctica la migración de sistemas operativos convencionales a SUSE Linux Enterprise Server.
La certificación CC-CAPP/EAL3+ pone de manifiesto el compromiso de SUSE para con la seguridad y la evaluación de la misma. Este compromiso constituye la expresión de nuestro reconocimiento de que la seguridad es un proceso y no un estado. El paso siguiente en el terreno de la evaluación de seguridad se produce posteriormente en 2004, al obtener la certificación EAL4+.
Recursos adicionales:
Lea la Security Guide (Guía de seguridad), en PDF, para adaptar SLES8 a la configuración certificada.
Lea el documento Security Target (Objetivo de seguridad), en PDF. Disponible también en el sitio Web de la BSI.
Lea los documentos Functional Specification (Especificación funcional) y High Level Design (Diseño de alto nivel), ambos disponibles en PDF.
Sitio Web de seguridad y cifrado de IBM
El Certification Report (Informe de certificación), en PDF, está publicado en el sitio Web de la BSI.
La BSI ha publicado un comunicado de prensa para la certificación de SUSE Linux Enterprise Server 8. (Disponible sólo en alemán.)