Una solución de dominio cruzado ( CDS ) es un sistema integrado de aseguramiento de la información compuesto por software especializado y, a veces, hardware, que proporciona una interfaz controlada para habilitar y / o restringir manual o automáticamente el acceso o la transferencia de información entre dos o más dominios de seguridad basados en en una política de seguridad predeterminada. [1] [2] Los CDS están diseñados para hacer cumplir la separación de dominios y, por lo general, incluyen alguna forma de filtrado de contenido, que se utiliza para designar información que no está autorizada para su transferencia entre dominios de seguridad o niveles de clasificación, [3]como entre diferentes divisiones militares, agencias de inteligencia u otras operaciones que dependen fundamentalmente del intercambio oportuno de información potencialmente sensible. [4]
El objetivo de un CDS es permitir que un dominio de red confiable intercambie información con otros dominios, ya sea unidireccional o bidireccionalmente, sin introducir el potencial de amenazas de seguridad que normalmente vendrían con la conectividad de red. Aunque el objetivo es una garantía del 100%, esto no es posible en la práctica, por lo que el desarrollo, la evaluación y la implementación de CDS se basan en una gestión integral de riesgos. Debido a la naturaleza sensible de su uso, todos los aspectos de un CDS acreditado deben evaluarse rigurosamente bajo lo que se conoce como una Evaluación de seguridad basada en laboratorio (LBSA) para reducir las vulnerabilidades y riesgos potenciales para el sistema en sí y aquellos a los que se refiere. será desplegado. La evaluación y acreditación de los CDS en los Estados Unidos está principalmente bajo la autoridad de la Oficina Nacional de Gestión y Estrategia de Dominio Cruzado (NCDSMO) dentro de la Agencia de Seguridad Nacional (NSA).
Los tres elementos principales que se exigen de las soluciones de dominio cruzado son:
- Confidencialidad de los datos; impuesta con mayor frecuencia por la transferencia de datos unidireccional impuesta por hardware
- Integridad de los datos: gestión de contenido mediante filtrado de virus y malware; utilidades de examen de contenido; en revisión humana auditada de transferencia de alta a baja seguridad
- Disponibilidad de datos: sistemas operativos con seguridad reforzada, acceso de administración basado en roles, hardware redundante, etc.
Los criterios de aceptación para la transferencia de información entre dominios o la interoperabilidad entre dominios se basan en la política de seguridad implementada dentro de la solución. Esta política puede ser simple (p. Ej., Análisis antivirus y verificación de lista blanca [o "lista de permitidos"] antes de la transferencia entre redes de pares) o compleja (p. Ej., Varios filtros de contenido y un revisor humano debe examinar, redactar y aprobar un documento antes de publicarlo desde una dominio de alta seguridad [5] ). [6] Las redes unidireccionales se utilizan a menudo para trasladar información de dominios de baja seguridad a enclaves secretos y, al mismo tiempo, garantizar que la información no pueda escapar. [7] [8] Las soluciones entre dominios a menudo incluyen un High Assurance Guard .
Aunque las soluciones de dominio cruzado, a partir de 2019, históricamente han sido más típicas en entornos militares, de inteligencia y de aplicación de la ley, también existe un caso de uso para las soluciones de dominio cruzado en la industria. Muchos entornos industriales tienen sistemas de control y sistemas analíticos que están, o deberían estar, en diferentes dominios de seguridad. Un ejemplo son los sistemas de control de vuelo e información y entretenimiento en un avión. [9] Dada la amplia variedad de casos de uso en la industria, diferentes niveles de acreditación y certificación de terceros de aspectos de la solución de dominio cruzado serán apropiados para diferentes aplicaciones y se pueden encontrar entre diferentes proveedores. [10] [11]
Tipos de soluciones de dominio cruzado
Hay tres tipos de soluciones de dominio cruzado (CDS) de acuerdo con la Instrucción del Departamento de Defensa (DoDI) 854001p . Estos tipos se dividen en soluciones de acceso, transferencia y multinivel (MLS) y todas deben incluirse en la lista de referencia de dominio cruzado antes de las implementaciones de sitios específicos del Departamento de Defensa. [12] Solución de acceso "Una solución de acceso describe la capacidad de un usuario para ver y manipular información de dominios con diferentes niveles de seguridad y advertencias. En teoría, la solución ideal respeta los requisitos de separación entre dominios al evitar superposiciones de datos entre dominios, lo que garantiza que los datos de Las diferentes clasificaciones no pueden "filtrarse" (es decir, derrames de datos) entre redes en cualquier capa de host del modelo OSI / TCP. Sin embargo, en la práctica, los derrames de datos son una preocupación constante que los diseñadores de sistemas intentan mitigar dentro de niveles de riesgo aceptables. motivo, la transferencia de datos se trata como un CDS independiente ". [13] Solución de transferencia Un CDS de transferencia simplemente ofrece la capacidad de mover información entre dominios de seguridad que tienen un nivel de clasificación diferente o una advertencia diferente del mismo nivel de clasificación. Las soluciones de transferencia deben evaluarse para garantizar que la guardia sea capaz de respetar todas las restricciones de los distintos dominios que requieren protección. Soluciones de niveles múltiples "Las soluciones de acceso y transferencia se basan en enfoques de niveles de seguridad múltiples (MSL) que mantienen la separación de dominios; esta arquitectura se considera niveles únicos múltiples. Una solución de niveles múltiples (MLS) se diferencia de la arquitectura MSL al almacenar todos los datos en un solo dominio. La solución utiliza un etiquetado confiable y un esquema de control de acceso obligatorio (MAC) integrado como base para mediar el flujo de datos y el acceso de acuerdo con las credenciales y la autorización del usuario para autenticar los privilegios de lectura y derechos. De esta manera, se considera un MLS un CDS todo en uno, que abarca tanto las capacidades de acceso como de transferencia de datos ". [13]
Consecuencias no deseadas
En décadas anteriores, se desarrollaron e implementaron tecnologías de seguridad multinivel (MLS) que permitían una seguridad objetiva y determinista, pero dejaban poco margen de maniobra para la interpretación subjetiva y discrecional. [ cita requerida ] Estos hicieron cumplir el control de acceso obligatorio (MAC) con casi certeza. [ cita requerida ] Esta rigidez impidió soluciones más simples que parecerían aceptables en la superficie. [ cita requerida ] Los sistemas de información automatizados han permitido un amplio intercambio de información que a veces es contrario a la necesidad de evitar compartir secretos con adversarios. [ cita requerida ] La necesidad de compartir información ha llevado a la necesidad de apartarse de la rigidez del MAC a favor de equilibrar la necesidad de proteger con la necesidad de compartir. [ cita requerida ] Cuando el 'equilibrio' se decide a discreción de los usuarios, el control de acceso se denomina control de acceso discrecional (DAC) que es más tolerante con las acciones que gestionan el riesgo donde MAC requiere evitarlo. [ cita requerida ] Permitir que los usuarios y los sistemas administren el riesgo de compartir información es de alguna manera contrario a la motivación original para MAC.
Las consecuencias no deseadas de compartir pueden ser complejas de analizar y no deben dejarse necesariamente a la discreción de los usuarios que pueden tener un enfoque limitado en su propia necesidad crítica. [ cita requerida ] Estos documentos proporcionan una guía de estándares sobre la gestión de riesgos:
- "Controles de seguridad recomendados para organizaciones y sistemas de información federales" . Computer Security Division - Centro de recursos de seguridad informática . Instituto Nacional de Estándares y Tecnología (NIST). 2011-11-16., SP 800-53 Rev3
- "Categorización de seguridad y selección de control para sistemas de seguridad nacional" (PDF) . El Comité de Sistemas de Seguridad Nacional (CNSS) ., Instrucción No. [ cita requerida ] 1253
Referencias
- ^ "Servicio empresarial de dominio cruzado (CDES)" . Entorno de apoyo al aseguramiento de la información . Agencia de Sistemas de Información de Defensa (DISA). 2011-11-16. Archivado desde el original el 26 de marzo de 2008 . Consultado el 16 de enero de 2012 .
- ^ "Más información sobre las soluciones de dominio cruzado" . Defensa Cibernética del Búho . 25 de agosto de 2020.
- ^ "Estrategia de Cloud Computing" (PDF) . DTIC.MIL .
- ^ Aristóteles, Jacob. Solución de dominio cruzado .
- ^ Slater, T. "Interoperabilidad entre dominios" , Consorcio de la industria de operaciones centradas en la red - NCOIC , 2013
- ^ "Soluciones de dominio cruzado: garantía de una seguridad de datos completa" .
- ^ "Diodo de datos Nexor" . Nexor . Consultado el 3 de junio de 2013 .
- ^ "Productos de transferencia de información de diodos de datos duales" . Owl Cyber Defense, LLC . Consultado el 20 de agosto de 2019 .
- ^ "¿Se puede piratear un avión? (Probablemente)" . Interset . 2017-01-04 . Consultado el 7 de marzo de 2019 .
- ^ "Soluciones de dominio cruzado" . Lockheed Martin . Consultado el 7 de marzo de 2019 .
- ^ "Diodos de datos" . MicroArx . Consultado el 7 de marzo de 2019 .
- ^ "CNSSI-4009" (PDF) . RMF.org . Consultado el 28 de febrero de 2020 .
- ^ a b Smith, Scott (28 de febrero de 2020). "Arrojando luz sobre soluciones de dominio cruzado" . Sala de lectura sobre seguridad de la información del Instituto SANS . Consultado el 28 de febrero de 2020 .
Oficina de administración de dominios cruzados unificada (UCDMO), superposición de dominios cruzados, 1 de diciembre de 2011, ver 1.0; proporciona una amplia guía de control de seguridad para implementar controles de seguridad de direcciones de la plataforma CDS para hardware y software, reforzados con inspecciones avanzadas.