selinux - yosihiro.comyosihiro.com/speech/doc/2017-05-16.pdf · slide 39....
TRANSCRIPT
Slide 2
発表者紹介
佐藤慶浩(さとう よしひろ)フリーランス・コンサルタント
略歴:Trusted OSを商用利用するための設計手法を開発した後、LinuxのセキュアOS化製品を開発し、米国Network Computing誌の2003年Well-connected awardsのFinalistを受賞。日本HPのチーフ・プライバシー・オフィサーを務めながら、内閣官房情報セキュリティ指導専門官などを併任した後、2016年に同社を退職して、現在はフリーのコンサルタント。レジメは https://yosihiro.com/profile/resume.html
オフィス四々十六(ししじゅうろく) 代表元 株式会社 日本HP アジア地域プライバシーオフィサー元 日本ヒューレット・パッカード株式会社 アジア地域ITセキュリティソリューションマネージャ元 内閣官房情報セキュリティセンター(NISC) 内閣情報セキュリティ指導専門官
Copyright 2016-2017 Yoshihiro Satoh ( .com/)よしひろ
Slide 5
発表内容
軍用のTrusted OSは、どうやって生まれ、
それがなぜ商用利用され、
何を期待されてSELinuxが開発されることに至ったのか
Copyright 2016-2017 Yoshihiro Satoh ( .com/)よしひろ
Slide 8
米国防総省調達基準から国際規格へ
Copyright © 2017 Yoshihiro Satoh ( .com/)よしひろ
改定
CommonCriteriaV1.0
CommonCriteriaV2.0欧米5ヶ国が基準を統一
1985 1988 1991 1994 1998 2000
ISO/IEC15408国際標準に
米国基準(TCSEC)制定
カナダ基準(CTCPEC)制定
欧州基準(ITSEC)制定
Slide 9
TCSEC の Division/Class の要件(抜粋)
Copyright © 2017 Yoshihiro Satoh ( .com/)よしひろ
A1 : Trusted DistributionCMW: Information LabelsCMW: Compartment ModeB3 : Access Control ListB3 : Trusted RecoveryB3 : Trusted Facility Management (Security Administrator, 2KeyLock)B2 : Device Labeling (Labeling to all models)B2 : Subject Sensitivity Labels (Labeling to all models)B2 : Least PrivilegeB1 : Trusted PathB1 : Mandatory Access ControlB1 : LabelingC2 : AuditingC2 : Strict PasswordC1 : Discretionary Access ControlC1 : Identification and AuthenticationD: No Access Control
Trusted OS
Slide 21
CMWCompartmented
ModeWorkstation
CMWCompartmented
ModeWorkstation
CMWCompartmented
ModeWorkstation
Slide 22
TCSEC と CMW の関係
SecureWare 社セキュリティ技術
オレンジブック
グリーンブック
レッドブック
DIA-CMW
レインボー・シリーズ
OSF/1
Trusted Unix
…POSIX P1003.6
TCSEC
TCSEC (Trusted Computer System Evaluation Criteria)DDS-2600-5502-87
CMWEC (Compartmented Mode Workstation E.C.)DDS-2600-6243-91
Slide 24
マル秘
マル秘
極秘
社外秘
最高機密
営業 人事 経理企画 開発
極秘
社外秘
最高機密
営業 人事 経理企画 開発
Clearance と Sensitivity Level
← Subject (主体)
Object (客体)→
Slide 27
Classification と Compartment
Compartment(横軸)→
* CMW TAC4 調達の例
Classification(縦軸)
TOP SECRET (TS)SECRET (S)CONFIDENTIAL (C)UNCLASSIFIED (U)
NAT
OAL
PHA
SIO
PU
LTRA
(UL)
SAC
TRID
ENT(
TR)
Slide 34
ファイアーウォール
外部ネットワークとの境界
インターネット DNS やメール
ファイアーウォール
社内
DataBaseサーバ
社内クライアント
DMZ(非武装地帯)
この要求を許すことが武装解除を意味する 監視していなければ、
インターネットと変わらない
ファイアウォールの効用と限界DMZの正しい理解
Slide 35
ファイアーウォール
外部ネットワークとの境界
インターネット Web サーバ
ファイアーウォール
社内
DataBaseサーバ
社内クライアント
DMZ(非武装地帯)
社内からアクセス要求するなら、データのアップロード&ダウンロードとも問題ない
ファイアウォールの効用と限界DMZの正しい理解
Slide 36
ファイアーウォール
外部ネットワークとの境界
インターネット Web サーババックエンド
サーバ
ファイアーウォール
社内
DataBaseサーバ
社内クライアント
DMZ(非武装地帯)
これも非武装とみなすのが堅実!
ファイアウォールの効用と限界DMZの正しい理解
Slide 37
CMW OSによる境界防御インターネットサーバ用の強力な境界防御策としてCMW OSを導入できます。
ソリューションの考え方:ネットワーク・ダイオード
インターネットCMWOS 社内ネットワーク
F/W
双方向のアクセス要求をそれぞれに特化した技術で防御します
Slide 38
インターネット
イントラネット
バックエンドサーバ
安全なアプリケーション
Webサーバ
監査証跡
トラステッドゲートウェイ
OS関連ファイル群
SSL ルータ
HTMLファイルhttpd設定ファイル
CGIプログラム各種設定ファイル
読取専用
読取専用
完全遮蔽
Trusted OSの活用
Slide 39
積極的に使用しているBLSの機能データ・セパレーション(Classification)強制アクセス制御(Mandatory Access Control)最小特権(Least Privileges)スーパユーザ無効化(2 Key Lock)最高保護扱いの監査記録(WRITEUP)
不可避の潜在的問題データ流出(Covert Channels)
Trusted OSの活用と限界
Slide 42
セキュアOS
標準OS用アプリ
(Webなどを含む)
カスタマイズ
モデル3-1
標準OS用アプリを修正せずに、どこまでできるのかを検討
標準OS 標準OSセキュアOS
セキュリティ強化
標準OS用アプリ
(Webなどを含む)
標準OS用アプリ
(Webなどを含む)
標準OS用アプリ
(Webなどを含む)
現状 モデル1 モデル2
標準OSのままで、どこまでできるのかを検討
OSだけをセキュアOSにして、どこまでできるのかを検討
セキュアOS
セキュアOS対応アプリ
モデル3-2
アプリをセキュアOS対応させると、どこまでできるのかを検討
Slide 43
アプリ一体型セキュアOS
モデル3-2を
一体化
モデル4-2
汎用ではなく、特定用途に特化したものなら、どこまでできるかを検討
アプリ一体型セキュアOS
モデル3-1を
パッケージ化
モデル4-1
汎用ではなく、特定用途に特化したものなら、どこまでできるかを検討
標準OS
標準OS用アプリ
(Webなどを含む)
現状
モデル1の例Bastille lockdown
モデル2の例(任意のセキュアOS)
モデル3-1の例Trusted Solaris, PitBull
モデル3-2の例SPAWAR
モデル4-1の例Virtual Vault
モデル4-2の例(ワープロ専用機)
(モデル4-Xは、アプライアンス装置のようなもの)
Slide 44
標準OS
セキュリティ強化
標準OS用アプリ
(Webなどを含む)
モデル1
標準OSのままで、どこまでできるのかを検討
セキュアOS
標準OS用アプリ
(Webなどを含む)
モデル2
OSだけをセキュアOSにして、どこまでできるのかを検討
モデル1 モデル2
できること
BOF攻撃の一部防止(stack execution protection)
できること
侵害時の
アプリの改ざん防止
内外接続での防御
アプリの実装不具合による事故の防止
できないこと
侵害されたら、全権を取られる
監査証跡の保全が技術的には担保されない
できないこと
アプリのデータを個別には保護できない(全体データを一括してなら保護できる)
課題
運用ツールの追加開発や運用手順の増加を伴なう
課題
アプリの標準サポート
アプリ以外の市販品の使用制限(運用管理ツールなど)への対応
Slide 45
セキュアOS
セキュアOS対応アプリ
モデル3-2
アプリをセキュアOS対応させると、どこまでできるのかを検討
セキュアOS
標準OS用アプリ
(Webなどを含む)
カスタマイズ
モデル3-1
標準OS用アプリを修正せずに、どこまでできるのかを検討
モデル3-1 モデル3-2
できること
侵害時の
アプリの改ざん防止
内外接続での防御
アプリの実装不具合による事故の防止
ログの保全など
できること
モデル3-1に加えて、アプリのデータを詳細に保護可能
できないこと
アプリのデータを個別には保護できない(全体データを一括してなら保護できる)
できないこと
(ない:セキュアOSの機能でできることは、すべてできる)
課題
OSやアプリの責任範囲の明確化
課題
アプリの開発や保守コストの低減
Slide 46
アプリ一体型セキュアOS
モデル3-1の
パッケージ化
モデル4-1
汎用ではなく、特定用途に特化したものなら、どこまでできるかを検討
アプリ一体型セキュアOS
モデル3-2の
一体化
モデル4-2
汎用ではなく、特定用途に特化したものなら、どこまでできるかを検討
モデル4-1 モデル4-2
できること
できないこと
(モデル3-1と同じ)
できること
できないこと
(モデル3-2と同じ
利点
大量導入の際の設定不備が避けられる
標準アプリのパッチを適用可能
利点
大量導入の際の設定不備が避けられる
アプリの継続性に主導権がある
セキュアOSの開発が相対的に容易(余剰機能の削除だけでも有用)
課題
アプリの継続性に影響を受ける
課題
すべてが特注となるため安全性が高くもあり、逆に開発者の技量に依存したブラックボックスとなりやすい。
Slide 47
運用に与える影響市販の運用ツールとの互換性がなくなると、運用の作業効率が低下する
高可用性機能や市販の管理ツールの互換性がなくなると、それらが手動作業対応となり、運用工数が増大する
運用要件の明確化とそのための専用ツール開発が推奨される(近年のシステムでは、運用手順を明確にせず、作業者判断に柔軟性を持たせるようにしている場合がある。しかし、セキュアOSを採用する場合、本来は自由度の高い管理権限を与えるべきではないので、ロールベースの作業内容に特化した運用ツール開発をすべきである。たとえば、ログインしてバックアップ・コマンドで領域を指定して実行するのではなく、特定の領域しかバックアップできない専用ツールを開発するなど)
デュアルロック等 provisioning 関連の運用工数の増大
ただし、一部運用工数は専用ツールを開発することで、逆にセキュアOSではない場合に比べて削減できる場合がある(一度の開発と、継続的な運用工数をTCO的にどう認識するかによる)