GCHQ
aims to tackle open source security clearance problem
Mark Ballard Friday 23
November 2012 13:26
Bài được đưa lên
Internet ngày: 23/11/2012
Lời
người dịch: Ở nước Anh, đám công ty sở hữu độc
quyền chuyên nghề reo rắc sự sợ hãi, không chắc chắn,
nghi ngờ - FUD về việc phần mềm nguồn mở (PMNM) là
không an ninh, cũng đã dùng mọi thủ đoạn “bẩn” để
chứng minh rằng các trình ảo hóa sở hữu độc quyền
mới có an ninh, đặc biệt với công nghệ ảo hóa trong
chương trình điện toán đảm mây G-Cloud của chính phủ
Anh. Tiếc cho họ là CESG, cơ quan chịu trách nhiệm về an
ninh CNTT của chính phủ Anh cho tới bây giờ vẫn không
chiều theo ý của họ, dù một phần lỗi làm cho thị
trường thất bại, là thuộc về chính phủ. “Nếu điều
này là về sự khuyến khích nền kinh tế, thì chính phủ
nên đầu tư tiền cho nó. Nếu chính phủ muốn một cộng
đồng số vững mạnh, một cộng đồng PMNM vững mạnh,
thì chính phủ có thể loại bỏ một số rào cản. Chi
phí chững chỉ CESG là một ví dụ đầu tiên của một
sự thất bại của thị trường. Chính phủ nên đặt
tiền vào để làm cho nó đúng”. Bạn
hãy đọc hết để có được bài học có thể dùng được
ở Việt Nam.
Các dịch vụ an ninh
của Anh đã bắt đầu việc thu hẹp khoảng cách từng
làm dừng phần mềm nguồn mở (PMNM) có được sự rõ
ràng về an ninh để sử dụng trong các hệ thống của
chính phủ.
Sáng kiến đó đã
tới quá muộn để dừng thắng lợi hợp đồng lớn đầu
tiên phân phối theo phương
tiện mua sắm G-Cloud hàng đầu của chính phủ đang đi
tới một nhà cung cấp đã lảng xa các sản phẩm nguồn
mở vì chúng đã không có được sự tin cậy về an ninh.
Các nhà cung cấp
nguồn mở trong khi đó khẳng định sự khóa chứng chỉ
đã không loại bỏ các phần mềm của họ khỏi các hệ
thống của chính phủ - mà nó đã cho phép các nhà cung
cấp sở hữu độc quyền dấy lên các nghi ngờ về an
ninh của nguồn mở.
CESG, cơ quan an ninh
CNTT của Tổng hành dinh về Truyền thông của Chính phủ
(GCHQ), đã bắt đầu làm việc với một doanh nghiệp nhỏ
vô danh của Anh đã đồng ý tài trợ một hệ thống mạng
riêng ảo (VPN) nguồn mở thông qua những sự làm rõ về
an ninh tích cực của nó.
Hãng nhỏ này là nhà
cung cấp nguồn mở đầu tiên phá được sự
bế tắc từng làm dừng các PMNM có được sự làm rõ về
an ninh của CESG.
Chứng chỉ của
CESG tới với một chi phí
Cộng đồng nguồn mở
phát đạt trong sự cộng tác để giải quyết các vấn
đề. Nhưng sự phân mảnh về thương mại của nó và sự
áp đảo của các nhà cung cấp nhỏ đã tạo ra một môi
trường nơi mà các công ty riêng rẽ từng không có thiện
ý mạo hiểm đầu tư vào chứng chỉ của CESG, chỉ cho
các công ty lớn hơn với sự mở ra tốt hơn cho khu vực
nhà nước gặt hái được các lợi ích.
Giải pháp của chính
phủ từng là yêu cầu các nhà cung ấp lớn đỡ đầu
cho PMNM thông qua qui trình làm rõ về an ninh. Nhưng các nhà
cung cấp lớn đã trì hoãn đặt trọng tâm của họ đằng
sau nguồn mở.
Computer Weekly hiểu
CESG thay vào đó đã bắt đầu làm việc với Bộ Doanh
nghiệp, Đổi mới và Kỹ năng để tuyển mộ các nhà
cung cấp PMNM bằng việc thuyết phục họ có một trường
hợp nghiệp vụ trong việc đặt ra tiền cần thiết. Họ
đang hình thành một cách hỗ trợ cho việc đỡ đầu lối
vào của các hãng trong thị trường CNTT khu vực nhà nước
16 tỷ £.
Philip Dawson, CEO của
Skyscape, một nhà cung cấp đặt chỗ đã đảm bảo cho 2
hợp đồng lớn của G-Cloud, nói hãng đã bỏ qua các PMNM
khi xây dựng nền tảng trung tâm dữ liệu của mình vì
sự không chắc chắn về tình trạng an ninh.
Skyscape xây dựng dịch
vụ của mình trên phần mềm được người khổng lồ ảo
hóa VMware cung cáp, với cái đó nó đã tạo thành một
liên minh thương mại.
“Tôi là một người
bảo vệ lớn của các công nghệ nguồn mở” - ở một
điểm”, Dawson nói. “Rồi thì điểm đó là ai cầm nó
lên và làm cho nó tin cậy được và đầu tư vào nó, và
ai có lợi từ nó? VMware vSphere 4.1 là trình ảo hóa duy
nhất đã được CESG tin cậy. Đây từng là một yếu tố
trong quyết định của chúng tôi về việc ai sẽ là đối
tác của chúng tôi. Bạn phải thực sự nằm trong ruột
của nó để hiểu bằng cách nào nó làm việc để có
được sự tin cậy. Và đó là những gì VMware đã đầu
tư khi làm việc với CESG”.
Tuy nhiên, Computer
Weekly hiểu rằng VMware còn chưa có được một chứng chỉ
an ninh đầy đủ, được gọi là Bảo an Sản phẩm Thương
mại CESG (CPA), cho phần mềm ảo hóa của nó. Nó đã làm
việc tích cực với CESG và đang phấn đấu có chứng
chỉ, nhưng nó đã chỉ có cho tới này danh sách các phần
mềm được phân loại mà CESG nói có thể được chính
phủ sử dụng, nhưng còn chưa được thông qua những kiểm
thử nghiêm ngặt của một chứng chỉ chính thức.
CESG được cho là
đang làm việc với các nhà cung cấp ảo hóa khác, nhưng
đang chưa đánh giá bất kỳ lựa chọn thay thế nguồn mở
nào. Tuy nhiên, không trình ảo hóa nào đạt được chứng
chỉ, vì cơ quan này đang đánh giá các tham số an ninh của
công nghệ này nói chung. VMware đã giúp làm điều này. Vì
thủ tục kiểm thử chính thức đã và đang được phát
triển, CESG đã tiếp cận nó như một vấn đề quản lý
rủi ro.
Kate Craig-Wood, giám
đốc quản lý của Memset, nhà cung cấp đặt chỗ khác
của G-Cloud, nói VMware đã làm một “yêu sách để được
nổi tiếng” rằng nó đã có chứng chỉ của CESG, nhưng
điều đó là vô ích.
Memset sử dụng trình
ảo hóa Xen nguồn mở. Nó đã đạt tới một sự tin cậy
xuyên chính phủ của CESG cho dịch vụ của mình, kết hợp
với trình ảo hóa nguồn mở, thậm chí bản thân Xen còn
chưa có chứng chỉ. Sự tin cậy của Memset đã bao gồm
các kiểm thử thâm nhập “hung hăng” đối với trình
ảo hóa về an ninh Mức tác động 3 (IL3), tiêu chuẩn cho
những giao tiếp ngặt nghèo của chính phủ.
Craig-Wood
nói bà, như một đồng lãnh đạo kỹ thuật của các dự
án thí điểm của chương trình G-Cloud, đã thiết lập
nguyên tắc rằng bất kỳ phần mềm ảo hóa nào có thể
được sử dụng để đặt nhiều máy chủ lên cùng một
máy, bất kể chứng chỉ an ninh phần mềm nào, miễn là
các máy chủ khác bản thân chúng tất cả có mức an ninh
như nhau.
“Tôi tin tưởng rằng
vẫn có các tiêu chuẩn”, bà nói. “Mọi người đang
vội vã lên ảo hóa. Mọi người làm một vấn đề lớn
ngoài VMware so với Xen, Nhưng đó không phải là vấn đề
lớn. Bạn cần phải có một kho hạ tầng tách bạch
trong cái IL3 bằng bất kỳ cách gì, vì nó không thể kết
nối được tới Internet công cộng. Nó được kết nối
tới Mạng của Khu vực Nhà nước. Có khả năng sử dụng
Xen theo thiết lập đó. Nếu một số người vẫn có một
vấn đề thì chúng tôi chỉ cung cấp một đám mây
riêng”.
Việc quản lý các
rủi ro của nguồn mở
Một
người phát ngôn của CESG nói: “Tiếp cận của CESG cho
việc tin cậy các dịch vụ G-Cloud không dựa chỉ vào sử
dụng các sản phẩm từng được đánh giá chính thức
rồi. Thay vào đó, tiếp cận đó đòi hỏi các nhà cung
cấp thể hiện cách mà họ đang quản lý rủi ro. Nó
không loại trừ sử dụng các phần mềm nguồn mở”.
Sự lúng túng về
chứng chỉ nguồn mở dù vậy đã làm dừng các cơ quan
khu vực nhà nước mua các PMNM, và cho phép các nhà cung
cấp phần mềm sở hữu độc quyền thuyết phục các
khách hàng nguồn mở là không an toàn, như Trung
tâm dữ liệu máy tính đã làm tại Bristol vào năm ngoái.
Giải pháp của chính
phủ năm ngoái từng là gửi đi một đoàn tới Bristol
giải thích rằng quyết định của nó về việc liệu có
sử dụng một hệ thống thư điện tử nguồn mở hay
không từng là một vấn đề đối với quan chức về rủi
ro của riêng nó. Nhưng các quan chức về rủi ro vẫn còn
chưa chắc chắn về PMNM chưa được cấp chứng chỉ.
Chính phủ đã yêu
cầu các nhà cung cấp lớn đỡ đầu cho PMNM thông qua sự
làm rõ về an ninh, nhưng họ từng phớt lờ hợp tác,
thậm chí dù họ kết hợp các yếu tố nguồn mở trong
cả các hệ thống chung và được đặt hàng mà bản thân
họ phải có một sự tin cậy của các quan chức về rủi
ro theo chỉ dẫn của CESG.
Alee
Muffett, nhà tư vấn về an ninh cho Surevine, một nhà cung
cấp nhỏ về nguồn mở mà tích hợp các công cụ phương
tiện xã hội, nói: “Tôi nhận thức được rằng một
số nhà cung cấp đã và đang sử dụng a ninh như một đòn
bẩy cho sự sợ hãi, không chắc chắn và nghi ngờ –
FUD” chống lại một số phần của chính phủ - các văn
phòng quận và thị trấn địa phương, dạng đặt điều
như vậy - dọa dẫm họ không đi với nguồn mở. Điều
này là quá tồi tệ mà CESG đã phải đứng dậy vào năm
ngoái và gọi nó ra như là FUD.
Một số lúng túng đã
tới từ sự khác biệt giữa sự tin cậy và chứng chỉ.
Các quan chức về rủi ro của chính phủ phải làm cho
người ta tin vào các hệ thống tổ chức của họ. Những
đánh giá của họ sẽ két hợp một rủi ro xuất phát từ
việc liệu các thành phần phần mềm của họ có được
cấp chứng chỉ CESG hay không.
CESG được hiểu sẽ
là sắc sảo để có được các gói PMNM được phê chuẩn
trong những gì nó cho rằng cách thức đó là phù hợp,
với một nhà đỡ đầu công nghiệp. Nhà cung cấp vô
danh đó đã trở thành đầu tiên cầm cây gậy đã làm
thế với tiền của riêng mình - nó đã không gây quỹ
cộng đồng.
Một chứng chỉ CPA
mức khởi điểm, bao trùm hầu hết nghiệp vụ của chính
phủ ở mức IL2 tới IL3 thấp, có thể có giá 25.000 £,
với hầu hết sự trả tiền đó cho thời gian phòng thí
nghiệm CESG bỏ ra thử nghiệm phần mềm. Một CPA nâng
cao, tới IL3/4 cáo thể có giá 60.000 £.
Gerry Gavigan, chủ tịch
của Nhóm Nguồn mở, nói: “Nếu điều
này là về sự khuyến khích nền kinh tế, thì chính phủ
nên đầu tư tiền cho nó. Nếu chính phủ muốn một cộng
đồng số vững mạnh, một cộng đồng PMNM vững mạnh,
thì chính phủ có thể loại bỏ một số rào cản. Chi
phí chững chỉ CESG là một ví dụ đầu tiên của một
sự thất bại của thị trường. Chính phủ nên đặt
tiền vào để làm cho nó đúng”.
VMware
và Bộ Doanh nghiệp, Đổi mới và các Kỹ năng đã không
sẵn sàng để bình luận.
UK
security services have begun bridging the gap that has stopped open
source software getting security clearance for use in government
systems.
The
initiative has come too late to stop the first big contract wins
delivered under the government's
flagship G-Cloud procurement vehicle going to a supplier that
shunned open source products because they did not have security
accreditation.
Open
source suppliers meanwhile insist the certification block has not
disallowed their software from government systems – but it has
allowed proprietary suppliers to raise doubts over open source
security.
CESG,
the IT security arm of Government Communications Headquarters (GCHQ),
has begun working with an unnamed small UK business which has agreed
to sponsor an open source virtual private network (VPN) system
through its strenuous security clearances.
The
small firm is the first open source supplier to break the
impasse that has stopped open source software getting CESG security
clearance.
CESG
certification comes at a cost
The
open source community thrives on collaboration to solve technical
problems. But its commercial fragmentation and dominance by small
suppliers has created an environment where individual companies have
not been willing to risk investing in CESG certification, only for
larger companies with better public sector exposure to reap the
benefits.
The
government's solution was to ask large suppliers to sponsor open
source software through the security clearance process. But large
suppliers have been slow to put their weight behind open source.
Computer
Weekly understands CESG has instead begun working with the Department
for Business, Innovation and Skills to recruit open source suppliers
by convincing them there is a business case in putting up the
necessary cash. They are formulating a way to assist the sponsoring
firm's entry into the £16bn public sector IT market.
Philip
Dawson, CEO of Skyscape, a hosting supplier that secured two large
G-Cloud contracts, said it dismissed open source software when
building its datacentre platform because of the uncertainty over
security status.
Skyscape
built its service on software supplied by virtualisation giant
VMware, with which it formed a commercial alliance.
"I'm
a great advocate of open source technologies – to a point,"
said Dawson. "Then the point is who takes it on and gets it
accredited and invests in it, and who gets the benefit from it?
VMware vSphere 4.1 is the only hypervisor that has been accredited by
CESG. It was a factor in our decision on who we partnered with. You
have to get really into the guts of it to understand how it works to
get it accredited. And that's what VMware has invested in doing with
CESG."
Computer
Weekly understands, however, that VMware has not yet gained a full
security certification, called the CESG
Commercial Product Assurance (CPA), for its hypervisor software.
It has worked extensively with CESG and is striving for
certification, but it has got only as far as a classified list of
software CESG says can be used by government, but has not passed the
stringent tests of a formal certification.
CESG
is thought to be working with other hypervisor suppliers, but is not
evaluating any open source alternatives. No hypervisors have achieved
certification, however, because the agency has been evaluating the
security parameters of the technology generically. VMware has helped
to do this. Since the formal test procedure has been in development,
CESG has approached it as a risk management issue.
Kate
Craig-Wood, managing director of Memset, another G-Cloud hosting
supplier, said VMware had made a "claim to fame" that it
had CESG certification, but it was superfluous.
Memset
uses the open source Xen hypervisor. It attained a cross-government
CESG accreditation for its service, incorporating the open source
hypervisor, even though Xen itself was not certified. Memset's
accreditation included "aggressive" penetration tests of
the hypervisor to security Impact Level 3 (IL3), the standard for
restricted government communications.
Craig-Wood
said she had, as technical co-lead of the G-Cloud programme pilots,
established the principle that any virtualisation software could be
used to put multiple government servers on the same machine,
regardless of the software's security certification, as long as the
different servers were themselves all the same security level.
"I
believe that still stands," she said. "People are hung up
on virtualisation. People make a big issue out of VMware versus Xen.
But it's not a big issue. You need to have a separate infrastructure
stack on IL3 stuff anyway, because it can't be connected to the
public internet. It's connected to the Public Sector Network. It's
possible to use Xen in that setting. If some people still have an
issue we just provision a private cloud."
Managing
the risks of open source
A
CESG spokeswoman said: "CESG's approach to accrediting G-Cloud
services does not rely solely on the use of products which have been
formally evaluated. Instead, the approach requires providers to
demonstrate how they are managing the risks. It does not preclude the
use of open source software."
The
open source certification confusion has nevertheless stopped public
sector bodies buying open source software, and allowed proprietary
software suppliers to convince customers open source is not safe, as
Computacenter
did in Bristol last year.
The
government's solution last year was to send
a delegation to Bristol explaining that its
decision on whether to use an open source email system was a
matter for its own risk officer. But risk officers have still been
uncertain about uncertified open source software.
The
government asked large suppliers to sponsor open source software
through the security clearance, but they have been reluctant to
cooperate, even though they incorporate open source elements in both
bespoke and generic systems that must themselves get a risk officer's
accreditation under CESG guidance.
Alec
Muffett, security consultant to Surevine, a small open source
supplier that integrates social media tools, said: "I am aware
that some suppliers have been using security as a FUD [fear,
uncertainty and doubt] lever against some parts of government –
local county and district offices, that sort of thing – to scare
them into not going open source. This got so bad that CESG got up on
stage last year and called it out as FUD."
Some
of the confusion has come from the difference between accreditation
and certification. Government risk officers must accredit their
organisation's systems. Their assessments will incorporate a risk
derived from whether its software components are CESG-certified or
not.
CESG
is understood to be keen to get open source software packages
approved in what it deems the proper manner, with an industry
sponsor. The unnamed supplier that has become the first to take up
the baton has done so with its own cash – it did not raise
community funding.
A
foundation-level CPA certification, which covers most government
business at IL2 to low-IL3, can cost around £25,000, with most of
that paying for the time CESG's laboratory spends testing the
software. An augmented CPA, to IL3/4 can cost another £60,000.
Gerry
Gavigan, chairman of the Open Source Consortium, said: "If this
is about stimulation of the economy, government should be funding it.
If the government wanted a vibrant digital community, a vibrant open
source software community, it could remove some of the stumbling
blocks. The cost of CESG certification is a prime example of a market
failure. Government should put up the funding to correct it.
VMware
and the Department for Business, Innovation and Skills were
unavailable for comment.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.