Chủ Nhật, 2 tháng 12, 2012

GCHQ muốn xử trí vấn đề rõ ràng về an ninh của nguồn mở


GCHQ aims to tackle open source security clearance problem
Mark Ballard Friday 23 November 2012 13:26
Bài được đưa lên Internet ngày: 23/11/2012
Lời người dịch: Ở nước Anh, đám công ty sở hữu độc quyền chuyên nghề reo rắc sự sợ hãi, không chắc chắn, nghi ngờ - FUD về việc phần mềm nguồn mở (PMNM) là không an ninh, cũng đã dùng mọi thủ đoạn “bẩn” để chứng minh rằng các trình ảo hóa sở hữu độc quyền mới có an ninh, đặc biệt với công nghệ ảo hóa trong chương trình điện toán đảm mây G-Cloud của chính phủ Anh. Tiếc cho họ là CESG, cơ quan chịu trách nhiệm về an ninh CNTT của chính phủ Anh cho tới bây giờ vẫn không chiều theo ý của họ, dù một phần lỗi làm cho thị trường thất bại, là thuộc về chính phủ. “Nếu điều này là về sự khuyến khích nền kinh tế, thì chính phủ nên đầu tư tiền cho nó. Nếu chính phủ muốn một cộng đồng số vững mạnh, một cộng đồng PMNM vững mạnh, thì chính phủ có thể loại bỏ một số rào cản. Chi phí chững chỉ CESG là một ví dụ đầu tiên của một sự thất bại của thị trường. Chính phủ nên đặt tiền vào để làm cho nó đúng”. Bạn hãy đọc hết để có được bài học có thể dùng được ở Việt Nam.
Các dịch vụ an ninh của Anh đã bắt đầu việc thu hẹp khoảng cách từng làm dừng phần mềm nguồn mở (PMNM) có được sự rõ ràng về an ninh để sử dụng trong các hệ thống của chính phủ.
Sáng kiến đó đã tới quá muộn để dừng thắng lợi hợp đồng lớn đầu tiên phân phối theo phương tiện mua sắm G-Cloud hàng đầu của chính phủ đang đi tới một nhà cung cấp đã lảng xa các sản phẩm nguồn mở vì chúng đã không có được sự tin cậy về an ninh.
Các nhà cung cấp nguồn mở trong khi đó khẳng định sự khóa chứng chỉ đã không loại bỏ các phần mềm của họ khỏi các hệ thống của chính phủ - mà nó đã cho phép các nhà cung cấp sở hữu độc quyền dấy lên các nghi ngờ về an ninh của nguồn mở.
CESG, cơ quan an ninh CNTT của Tổng hành dinh về Truyền thông của Chính phủ (GCHQ), đã bắt đầu làm việc với một doanh nghiệp nhỏ vô danh của Anh đã đồng ý tài trợ một hệ thống mạng riêng ảo (VPN) nguồn mở thông qua những sự làm rõ về an ninh tích cực của nó.
Hãng nhỏ này là nhà cung cấp nguồn mở đầu tiên phá được sự bế tắc từng làm dừng các PMNM có được sự làm rõ về an ninh của CESG.
Chứng chỉ của CESG tới với một chi phí
Cộng đồng nguồn mở phát đạt trong sự cộng tác để giải quyết các vấn đề. Nhưng sự phân mảnh về thương mại của nó và sự áp đảo của các nhà cung cấp nhỏ đã tạo ra một môi trường nơi mà các công ty riêng rẽ từng không có thiện ý mạo hiểm đầu tư vào chứng chỉ của CESG, chỉ cho các công ty lớn hơn với sự mở ra tốt hơn cho khu vực nhà nước gặt hái được các lợi ích.
Giải pháp của chính phủ từng là yêu cầu các nhà cung ấp lớn đỡ đầu cho PMNM thông qua qui trình làm rõ về an ninh. Nhưng các nhà cung cấp lớn đã trì hoãn đặt trọng tâm của họ đằng sau nguồn mở.
Computer Weekly hiểu CESG thay vào đó đã bắt đầu làm việc với Bộ Doanh nghiệp, Đổi mới và Kỹ năng để tuyển mộ các nhà cung cấp PMNM bằng việc thuyết phục họ có một trường hợp nghiệp vụ trong việc đặt ra tiền cần thiết. Họ đang hình thành một cách hỗ trợ cho việc đỡ đầu lối vào của các hãng trong thị trường CNTT khu vực nhà nước 16 tỷ £.
Philip Dawson, CEO của Skyscape, một nhà cung cấp đặt chỗ đã đảm bảo cho 2 hợp đồng lớn của G-Cloud, nói hãng đã bỏ qua các PMNM khi xây dựng nền tảng trung tâm dữ liệu của mình vì sự không chắc chắn về tình trạng an ninh.
Skyscape xây dựng dịch vụ của mình trên phần mềm được người khổng lồ ảo hóa VMware cung cáp, với cái đó nó đã tạo thành một liên minh thương mại.
“Tôi là một người bảo vệ lớn của các công nghệ nguồn mở” - ở một điểm”, Dawson nói. “Rồi thì điểm đó là ai cầm nó lên và làm cho nó tin cậy được và đầu tư vào nó, và ai có lợi từ nó? VMware vSphere 4.1 là trình ảo hóa duy nhất đã được CESG tin cậy. Đây từng là một yếu tố trong quyết định của chúng tôi về việc ai sẽ là đối tác của chúng tôi. Bạn phải thực sự nằm trong ruột của nó để hiểu bằng cách nào nó làm việc để có được sự tin cậy. Và đó là những gì VMware đã đầu tư khi làm việc với CESG”.
Tuy nhiên, Computer Weekly hiểu rằng VMware còn chưa có được một chứng chỉ an ninh đầy đủ, được gọi là Bảo an Sản phẩm Thương mại CESG (CPA), cho phần mềm ảo hóa của nó. Nó đã làm việc tích cực với CESG và đang phấn đấu có chứng chỉ, nhưng nó đã chỉ có cho tới này danh sách các phần mềm được phân loại mà CESG nói có thể được chính phủ sử dụng, nhưng còn chưa được thông qua những kiểm thử nghiêm ngặt của một chứng chỉ chính thức.
CESG được cho là đang làm việc với các nhà cung cấp ảo hóa khác, nhưng đang chưa đánh giá bất kỳ lựa chọn thay thế nguồn mở nào. Tuy nhiên, không trình ảo hóa nào đạt được chứng chỉ, vì cơ quan này đang đánh giá các tham số an ninh của công nghệ này nói chung. VMware đã giúp làm điều này. Vì thủ tục kiểm thử chính thức đã và đang được phát triển, CESG đã tiếp cận nó như một vấn đề quản lý rủi ro.
Kate Craig-Wood, giám đốc quản lý của Memset, nhà cung cấp đặt chỗ khác của G-Cloud, nói VMware đã làm một “yêu sách để được nổi tiếng” rằng nó đã có chứng chỉ của CESG, nhưng điều đó là vô ích.
Memset sử dụng trình ảo hóa Xen nguồn mở. Nó đã đạt tới một sự tin cậy xuyên chính phủ của CESG cho dịch vụ của mình, kết hợp với trình ảo hóa nguồn mở, thậm chí bản thân Xen còn chưa có chứng chỉ. Sự tin cậy của Memset đã bao gồm các kiểm thử thâm nhập “hung hăng” đối với trình ảo hóa về an ninh Mức tác động 3 (IL3), tiêu chuẩn cho những giao tiếp ngặt nghèo của chính phủ.
Craig-Wood nói bà, như một đồng lãnh đạo kỹ thuật của các dự án thí điểm của chương trình G-Cloud, đã thiết lập nguyên tắc rằng bất kỳ phần mềm ảo hóa nào có thể được sử dụng để đặt nhiều máy chủ lên cùng một máy, bất kể chứng chỉ an ninh phần mềm nào, miễn là các máy chủ khác bản thân chúng tất cả có mức an ninh như nhau.
“Tôi tin tưởng rằng vẫn có các tiêu chuẩn”, bà nói. “Mọi người đang vội vã lên ảo hóa. Mọi người làm một vấn đề lớn ngoài VMware so với Xen, Nhưng đó không phải là vấn đề lớn. Bạn cần phải có một kho hạ tầng tách bạch trong cái IL3 bằng bất kỳ cách gì, vì nó không thể kết nối được tới Internet công cộng. Nó được kết nối tới Mạng của Khu vực Nhà nước. Có khả năng sử dụng Xen theo thiết lập đó. Nếu một số người vẫn có một vấn đề thì chúng tôi chỉ cung cấp một đám mây riêng”.
Việc quản lý các rủi ro của nguồn mở
Một người phát ngôn của CESG nói: “Tiếp cận của CESG cho việc tin cậy các dịch vụ G-Cloud không dựa chỉ vào sử dụng các sản phẩm từng được đánh giá chính thức rồi. Thay vào đó, tiếp cận đó đòi hỏi các nhà cung cấp thể hiện cách mà họ đang quản lý rủi ro. Nó không loại trừ sử dụng các phần mềm nguồn mở”.
Sự lúng túng về chứng chỉ nguồn mở dù vậy đã làm dừng các cơ quan khu vực nhà nước mua các PMNM, và cho phép các nhà cung cấp phần mềm sở hữu độc quyền thuyết phục các khách hàng nguồn mở là không an toàn, như Trung tâm dữ liệu máy tính đã làm tại Bristol vào năm ngoái.
Giải pháp của chính phủ năm ngoái từng là gửi đi một đoàn tới Bristol giải thích rằng quyết định của nó về việc liệu có sử dụng một hệ thống thư điện tử nguồn mở hay không từng là một vấn đề đối với quan chức về rủi ro của riêng nó. Nhưng các quan chức về rủi ro vẫn còn chưa chắc chắn về PMNM chưa được cấp chứng chỉ.
Chính phủ đã yêu cầu các nhà cung cấp lớn đỡ đầu cho PMNM thông qua sự làm rõ về an ninh, nhưng họ từng phớt lờ hợp tác, thậm chí dù họ kết hợp các yếu tố nguồn mở trong cả các hệ thống chung và được đặt hàng mà bản thân họ phải có một sự tin cậy của các quan chức về rủi ro theo chỉ dẫn của CESG.
Alee Muffett, nhà tư vấn về an ninh cho Surevine, một nhà cung cấp nhỏ về nguồn mở mà tích hợp các công cụ phương tiện xã hội, nói: “Tôi nhận thức được rằng một số nhà cung cấp đã và đang sử dụng a ninh như một đòn bẩy cho sự sợ hãi, không chắc chắn và nghi ngờ – FUD” chống lại một số phần của chính phủ - các văn phòng quận và thị trấn địa phương, dạng đặt điều như vậy - dọa dẫm họ không đi với nguồn mở. Điều này là quá tồi tệ mà CESG đã phải đứng dậy vào năm ngoái và gọi nó ra như là FUD.
Một số lúng túng đã tới từ sự khác biệt giữa sự tin cậy và chứng chỉ. Các quan chức về rủi ro của chính phủ phải làm cho người ta tin vào các hệ thống tổ chức của họ. Những đánh giá của họ sẽ két hợp một rủi ro xuất phát từ việc liệu các thành phần phần mềm của họ có được cấp chứng chỉ CESG hay không.
CESG được hiểu sẽ là sắc sảo để có được các gói PMNM được phê chuẩn trong những gì nó cho rằng cách thức đó là phù hợp, với một nhà đỡ đầu công nghiệp. Nhà cung cấp vô danh đó đã trở thành đầu tiên cầm cây gậy đã làm thế với tiền của riêng mình - nó đã không gây quỹ cộng đồng.
Một chứng chỉ CPA mức khởi điểm, bao trùm hầu hết nghiệp vụ của chính phủ ở mức IL2 tới IL3 thấp, có thể có giá 25.000 £, với hầu hết sự trả tiền đó cho thời gian phòng thí nghiệm CESG bỏ ra thử nghiệm phần mềm. Một CPA nâng cao, tới IL3/4 cáo thể có giá 60.000 £.
Gerry Gavigan, chủ tịch của Nhóm Nguồn mở, nói: “Nếu điều này là về sự khuyến khích nền kinh tế, thì chính phủ nên đầu tư tiền cho nó. Nếu chính phủ muốn một cộng đồng số vững mạnh, một cộng đồng PMNM vững mạnh, thì chính phủ có thể loại bỏ một số rào cản. Chi phí chững chỉ CESG là một ví dụ đầu tiên của một sự thất bại của thị trường. Chính phủ nên đặt tiền vào để làm cho nó đúng”.
VMware và Bộ Doanh nghiệp, Đổi mới và các Kỹ năng đã không sẵn sàng để bình luận.
UK security services have begun bridging the gap that has stopped open source software getting security clearance for use in government systems.
The initiative has come too late to stop the first big contract wins delivered under the government's flagship G-Cloud procurement vehicle going to a supplier that shunned open source products because they did not have security accreditation.
Open source suppliers meanwhile insist the certification block has not disallowed their software from government systems – but it has allowed proprietary suppliers to raise doubts over open source security. 
CESG, the IT security arm of Government Communications Headquarters (GCHQ), has begun working with an unnamed small UK business which has agreed to sponsor an open source virtual private network (VPN) system through its strenuous security clearances.
The small firm is the first open source supplier to break the impasse that has stopped open source software getting CESG security clearance.
CESG certification comes at a cost
The open source community thrives on collaboration to solve technical problems. But its commercial fragmentation and dominance by small suppliers has created an environment where individual companies have not been willing to risk investing in CESG certification, only for larger companies with better public sector exposure to reap the benefits.
The government's solution was to ask large suppliers to sponsor open source software through the security clearance process. But large suppliers have been slow to put their weight behind open source.
Computer Weekly understands CESG has instead begun working with the Department for Business, Innovation and Skills to recruit open source suppliers by convincing them there is a business case in putting up the necessary cash. They are formulating a way to assist the sponsoring firm's entry into the £16bn public sector IT market.
Philip Dawson, CEO of Skyscape, a hosting supplier that secured two large G-Cloud contracts, said it dismissed open source software when building its datacentre platform because of the uncertainty over security status.
Skyscape built its service on software supplied by virtualisation giant VMware, with which it formed a commercial alliance.
"I'm a great advocate of open source technologies – to a point," said Dawson. "Then the point is who takes it on and gets it accredited and invests in it, and who gets the benefit from it? VMware vSphere 4.1 is the only hypervisor that has been accredited by CESG. It was a factor in our decision on who we partnered with. You have to get really into the guts of it to understand how it works to get it accredited. And that's what VMware has invested in doing with CESG."
Computer Weekly understands, however, that VMware has not yet gained a full security certification, called the CESG Commercial Product Assurance (CPA), for its hypervisor software. It has worked extensively with CESG and is striving for certification, but it has got only as far as a classified list of software CESG says can be used by government, but has not passed the stringent tests of a formal certification.
CESG is thought to be working with other hypervisor suppliers, but is not evaluating any open source alternatives. No hypervisors have achieved certification, however, because the agency has been evaluating the security parameters of the technology generically. VMware has helped to do this. Since the formal test procedure has been in development, CESG has approached it as a risk management issue.
Kate Craig-Wood, managing director of Memset, another G-Cloud hosting supplier, said VMware had made a "claim to fame" that it had CESG certification, but it was superfluous.
Memset uses the open source Xen hypervisor. It attained a cross-government CESG accreditation for its service, incorporating the open source hypervisor, even though Xen itself was not certified. Memset's accreditation included "aggressive" penetration tests of the hypervisor to security Impact Level 3 (IL3), the standard for restricted government communications.
Craig-Wood said she had, as technical co-lead of the G-Cloud programme pilots, established the principle that any virtualisation software could be used to put multiple government servers on the same machine, regardless of the software's security certification, as long as the different servers were themselves all the same security level.
"I believe that still stands," she said. "People are hung up on virtualisation. People make a big issue out of VMware versus Xen. But it's not a big issue. You need to have a separate infrastructure stack on IL3 stuff anyway, because it can't be connected to the public internet. It's connected to the Public Sector Network. It's possible to use Xen in that setting. If some people still have an issue we just provision a private cloud."
Managing the risks of open source
A CESG spokeswoman said: "CESG's approach to accrediting G-Cloud services does not rely solely on the use of products which have been formally evaluated. Instead, the approach requires providers to demonstrate how they are managing the risks. It does not preclude the use of open source software."
The open source certification confusion has nevertheless stopped public sector bodies buying open source software, and allowed proprietary software suppliers to convince customers open source is not safe, as Computacenter did in Bristol last year.  
The government's solution last year was to send a delegation to Bristol explaining that its decision on whether to use an open source email system was a matter for its own risk officer. But risk officers have still been uncertain about uncertified open source software.
The government asked large suppliers to sponsor open source software through the security clearance, but they have been reluctant to cooperate, even though they incorporate open source elements in both bespoke and generic systems that must themselves get a risk officer's accreditation under CESG guidance.
Alec Muffett, security consultant to Surevine, a small open source supplier that integrates social media tools, said: "I am aware that some suppliers have been using security as a FUD [fear, uncertainty and doubt] lever against some parts of government – local county and district offices, that sort of thing – to scare them into not going open source. This got so bad that CESG got up on stage last year and called it out as FUD."
Some of the confusion has come from the difference between accreditation and certification. Government risk officers must accredit their organisation's systems. Their assessments will incorporate a risk derived from whether its software components are CESG-certified or not.
CESG is understood to be keen to get open source software packages approved in what it deems the proper manner, with an industry sponsor. The unnamed supplier that has become the first to take up the baton has done so with its own cash – it did not raise community funding.
A foundation-level CPA certification, which covers most government business at IL2 to low-IL3, can cost around £25,000, with most of that paying for the time CESG's laboratory spends testing the software. An augmented CPA, to IL3/4 can cost another £60,000.
Gerry Gavigan, chairman of the Open Source Consortium, said: "If this is about stimulation of the economy, government should be funding it. If the government wanted a vibrant digital community, a vibrant open source software community, it could remove some of the stumbling blocks. The cost of CESG certification is a prime example of a market failure. Government should put up the funding to correct it.
VMware and the Department for Business, Innovation and Skills were unavailable for comment.
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.