SOA Pilot 2011 - demonstrating secure exchange of information between security domains

Sammendrag Arbeidet beskrevet i dette dokumentet er utført i sammenheng med SOA pilot aktiviteten som FFI var en svært viktig del av våren 2011. Hovedformålet med SOA piloten var å demonstrere nytteverdien av tjenesteorientert arkitektur (SOA) og den tilgjengeliggjøringen av informasjon gjennom kjente grensesnitt som er mulig med denne teknologien. Eksisterende kommando og kontrollsystemer ble derfor tjenesteorientert og informasjonen som disse inneholder ble gjort tilgjengelig for potensielle konsumenter. En løsning for utveksling av informasjon ble også demonstrert ved bruk av SOA-tjenester mellom forskjellige sikkerhetsdomener.

Sikkerhetsdomener brukes i dag for å beskytte konfidensialiteten til informasjon. Sikkerhetsdomener og de tilhørende mekanismene skal hindre uautorisert tilgang til, og dermed også lekkasje av, informasjon. Kort beskrevet gjøres dette ved at informasjon kan flyttes fra et lavere gradert til et høyere gradert domene, men ikke andre veien. Samtidig beveger den militære organisasjonen og dermed også informasjonssystemene seg mot et Nettverksbasert Forsvar (NbF) hvor tilgang til rett informasjon til rett tid for rett bruker er svært viktig. Siden det kan eksistere informasjon i et høyere gradert domene som er av lavere gradering, og som kan være av nytte for brukere i domener med lavere gradering, er det behov for en løsning for å flytte informasjon sikkert mellom domener.

Denne løsningen må ta hensyn til både behovet for beskyttelse av informasjon og behovet for å dele informasjon. Dette dokumentet skisserer en foreslått løsning for sikker utveksling av informasjon mellom sikkerhetsdomener. I tillegg skisseres teorien og grunnlaget for den foreslåtte løsningen. Den foreslåtte løsningen baserer seg på bruk av prinsippene rundt objektnivå sikkerhet (Object Level Protection (OLP)). Kort kan dette forklares ved at hvert objekt blir behandlet av beskyttelsesmekanismer etter dets individuelle behov for beskyttelse, dette behovet er beskrevet ved hjelp av metadata. Beskyttelsesmekanismer gjør sine vurderinger basert på de metadata som er knyttet til objektet og ikke infrastrukturen slik som i dag. En slik beskyttelsesmekanisme kan være en guard som inspiserer all informasjon som skal flyttes fra høyt til lavt domene.

I løsningen som er utviklet og skissert i dette dokumentet brukes en foreslått NATO standard for konfidensialitets metadata (også kalt konfidensialitetsmerke) og en annen foreslått NATO standard for å binde metadata til informasjonsobjekter. FFI har vært editor for disse, som begge er tatt fram av forskningsgruppen NATO RTO IST-068/RTG-031. En prototype guard-løsning som kan håndtere SOAP meldinger er også utviklet ved FFI.