« Il supercomputer più... | Main | Ho ancora un lavoro? »  

mercoledì apr 02, 2008

OpenSolaris, la sicurezza e la NSA (National Security Agency)

La scorsa settimana abbiamo effettuato un annuncio molto importante: l'inizio della collaborazione con un'istituzione caratterizzata da uno dei livelli più elevati (se non il più elevato in assoluto) di sicurezza e segretezza delle informazioni dell'intero pianeta, la National Security Agency (NSA) del governo degli Stati Uniti. La NSA è entrata anch'essa a far parte della sempre più vasta comunità OpenSolaris e collaborerà con Sun e gli altri membri della comunità alla definizione del futuro dei sistemi operativi ultrasicuri.

In pratica, per noi di Sun la partecipazione attiva alla comunità è da sempre una delle più importanti modalità di introduzione delle innovazioni sul mercato: collaboriamo con le organizzazioni che hanno esigenze di carattere "estremo", che si tratti della superstruttura informatica più grande del mondo o dei professionisti della sicurezza più "paranoici" (senza offesa, naturalmente), o ancora dei sistemi di storage per archiviazione più imponenti; quindi sfruttiamo le conoscenze acquisite attraverso queste collaborazioni per creare nuovi prodotti per il mercato di massa. Impariamo dai clienti con esigenze estreme per poi estendere le innovazioni al resto del mondo.

Nove volte su dieci, le esperienze vissute dai clienti con questo tipo di esigenze sono indicatori estremamente puntuali di quelle che sono o saranno le esigenze dell'intero settore.

In passato questo tipo di collaborazione comportava un'infinità di documenti legali per descrivere con il massimo dettaglio le limitazioni derivanti dalla natura riservata delle informazioni, gli scambi di proprietà intellettuale o i complicati processi istituzionali. Ma nel momento in cui abbiamo aderito alla comunità open source tutto è diventato molto più semplice. Infatti ora le nostre collaborazioni più efficaci possono essere riassunte con la frase: "partecipate alla comunità". Ed è esattamente questo il concetto fondamentale dell'annuncio: la National Security Agency ha aderito alla comunità OpenSolaris.

Anziché procedere di persona a illustrare i vari dettagli della nuova collaborazione, questa volta ho pensato di cedere la parola al presidente della divisione Federal Systems Group di Sun, Bill Vass, a cui ho inviato una serie domande che riporto di seguito insieme alle sue risposte.

Allora Bill, cosa abbiamo annunciato?
Che è stata formalizzata una collaborazione con la National Security Agency (NSA) degli Stati Uniti che prevede l'integrazione delle loro ricerche sulla sicurezza in un progetto della comunità OpenSolaris denominato Flexible Mandatory Access Control (FMAC). Il comunicato stampa relativo al progetto è disponibile qui.

Cosa si intende per Flexible Mandatory Access Control (FMAC)?
Occorre anzitutto dire che Mandatory Access Control (MAC) è un meccanismo implementato a livello di sistema operativo per fornire restrizioni relative ai privilegi del sistema che non è possibile ignorare. MAC esiste per evitare che utenti non autorizzati possano, ad esempio, accedere agli archivi relativi al vostro passaporto o spegnere un computer che fa parte di un deployment di natura mission-critical. MAC è essenzialmente un meccanismo per gestire i privilegi.

Ma poiché non esiste un MAC unico e utilizzabile in ogni situazione, ecco che entra in gioco il concetto di flessibilità (Flexible, appunto). Gli obiettivi di sicurezza di un'installazione possono variare a seconda del valore degli asset e dei sistemi informativi e ai metodi utilizzati per proteggerli. Grazie alla flessibilità, è possibile descrivere le policy di sicurezza affinché soddisfi le reali esigenze di controllo degli accessi sulla base di un modello di applicazione estensibile.

Così si ottiene il Flexible Mandatory Access Control. Maggiori informazioni sul meccanismo FMAC sono disponibili qui. FMAC non è importante soltanto per i governi e gli enti pubblici, naturalmente, ma anche per i siti di social networking, le banche e chiunque voglia implementare un sistema di controllo degli accessi semplificato e di facile utilizzo, quindi anche gli utenti finali e le aziende.

Chi partecipa al progetto?
Sun e la NSA stanno lavorando insieme nell'ambito della comunità OpenSolaris, ma invitiamo tutti gli interessati a partecipare: uno dei grandi vantaggi che abbiamo in qualità di azienda open source è la possibilità di innovare in modo aperto e alla luce del sole, nell'ambito di una comunità vastissima. Nel campo delle tecnologie di sicurezza, in particolare, la trasparenza delle attività di sviluppo riveste un'importanza vitale, anche per la NSA; non è infatti possibile insinuare un Trojan horse all'interno di una piattaforma open source. Pertanto, l'open source permette ai clienti con esigenze di sicurezza estreme di fidarsi dei loro fornitori *e anche* di effettuare le verifiche del caso.

Questa collaborazione è una dimostrazione straordinaria della fama di integrità di cui gode la comunità OpenSolaris tra gli utenti delle istituzioni pubbliche e governative attenti al progresso tecnologico e commerciale.

Perché la NSA ha scelto Sun?
Le varie collaborazioni di Sun con i governi di tutto il mondo si fondano su due capisaldi: sicurezza e prestazioni. Fin dai nostri esordi abbiamo sempre attribuito un'importanza centrale alla sicurezza e vantiamo oltre 20 anni di esperienza nel settore dei sistemi operativi trusted (ricordo, ad esempio, Trusted Solaris, nato dalla collaborazione con il governo degli Stati Uniti circa un decennio fa).

Le nostre tecnologie di sicurezza sono impiegate in tutti i settori, dalle SIM dei telefoni cellulari alle piattaforme di gestione delle identità che rappresentano il cuore pulsante di alcuni dei più imponenti servizi Web del mondo. Solaris è inoltre da tempo riconosciuto come il Sistema Operativo open source più sicuro, per distribuzioni che vanno dai campi di battaglia ai sistemi di comando e controllo. Ci è quindi sembrato naturale dar vita a una collaborazione con la NSA.

Hai accennato all'integrazione delle ricerche della NSA sulla sicurezza: puoi spiegare meglio?
Stiamo valutando in che modo è possibile combinare le ricerche condotte dalla NSA sull'architettura FLASK (Flux Advanced Security Kernel) e le policy di TE (Type Enforcement) con la nostra tecnologia Solaris Trusted Extensions. Sono aspetti che offrono una potenziale complementarità che pensiamo di poter sfruttare per creare uno stack applicativo open source, da MySQL a Glassfish/Java fino all'utente finale.

L'architettura Flask separa la definizione delle policy dalla loro modalità di applicazione. Infatti le policy possono essere modificate senza cambiare i "ganci" che le rendono attive sull'ambiente operativo, il che semplifica notevolmente la vita agli amministratori della sicurezza e migliora la flessibilità e l'utilità dei sistemi.

Inoltre, la policy di "Type Enforcement" consente un controllo degli accessi estremamente granulare che è possibile utilizzare per proteggersi dai software dannosi.

Perché abbiamo deciso di lavorare su questi aspetti insieme alla NSA?
Numerosi clienti del settore governativo ci hanno chiesto un'implementazione basata su Flask/TE in Solaris E ora che abbiamo completato Solaris Trusted Extensions, ci è sembrato il momento ideale per iniziare a guardare al futuro Con Solaris Trusted Extensions abbiamo già una straordinaria infrastruttura di sicurezza multilivello (MLS, Multilevel Security), ma il valore delle tecnologie integrate tra loro può fornire un'unica piattaforma ampliabile utilizzabile per proteggere informazioni governative riservate, così come i dati delle grandi aziende e, in definitiva, persino i prodotti elettronici di consumo, come i telefoni o i videoregistratori digitali.

A quale tipologia di pubblico è rivolto FMAC?
Come dicevo prima, i sistemi basati su MAC vengono prevalentemente utilizzati da governi ed enti pubblici. Il nostro obiettivo è ampliare ulteriormente il mercato rendendo le tecnologie come FMAC più accessibili ai clienti, dalle startup alle grandi imprese. In genere, i governi e gli enti pubblici offrono ottimi indicatori delle esigenze di sicurezza dei mercati commerciali.

Un tempo la sicurezza di alto livello era una disciplina quasi esoterica, oggi è diventata un obiettivo essenziale per il governo degli Stati Uniti, per i governi internazionali e, soprattutto, per gli utenti.

Il progetto riguarda solo gli Stati Uniti?
No. Si tratta di un progetto OpenSolaris e quindi vorremmo che l'intera comunità globale contribuisse al suo sviluppo. Chi desidera collaborare non deve fare altro che creare un account su opensolaris.org e partecipare.

Come è possibile contattare il tuo team per parlare di FMAC nella comunità open source?
È possibile contattarmi tramite e-mail: bill.vass@sun.com. Abbiamo molti collaboratori nella zona di Washington DC e numerosi contatti in tutto il mondo in grado di aiutare le organizzazioni a capire le problematiche di sicurezza e l'open source, oltre a illustrare come aderire alla comunità per collaborare all'innovazione per la sicurezza. Per chi ancora non lo avesse fatto, questo è il momento giusto per partecipare!

Grazie mille, Bill.
È stato un piacere.

Posted on 12:37PM apr 02, 2008 |

Share this post  del.icio.us | digg.com | slashdot.org | technorati.com | reddit | facebook | stumbleupon

No Comments

Post a Comment:
Comments are closed for this entry.