商用セキュアos と オープンソースセキュアos …pitbull –デメリット...
TRANSCRIPT
1
商用セキュアOS とオープンソースセキュアOS(SELinux )
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
日本高信頼システム株式会社日本高信頼システム株式会社田口田口 裕也裕也
http://[email protected]
SELinux BOF2004/11/30
強制アクセス制御機能
導入実績
メリット、デメリット
今後の課題
機能比較項目
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
2
セキュアOS、TrustedOS製品一覧
・セキュリティ要件に明確な定義はない・第三者機関による認定無し・モジュールによるアクセス制御(LKMを利用)
・国防機関レベルのセキュリティ強度実現困難
・導入、設計は比較的容易・実装機能、セキュリティ強度は製品によって大きく差がある
MIRACLE HizardPitBull Protector Plus Secuve TOS
セキュアOS
(ドライバ型)
・セキュリティ機能要件に明確な定義はない(Trusted OSの機能を部分的に搭載)
・第三者機関による認定無し・セキュリティカーネルによる強制アクセス制御
・国防機関レベルのセキュリティ強度実現困難(オプションによっては実現可)
・導入、設計にはノウハウが必要
SELinuxPitBull LXhp Compartment Guard
セキュアOS
(カーネル型)
・セキュリティ機能要件が定義されている(TCSEC等)
・第三者機関による認定を受けた製品・セキュリティカーネルによる強制アクセス制御
・国防機関レベルのセキュリティ強度実現可能・導入、設計にはノウハウが必要
Trusted Solaris PitBull Foundation Suite
TrustedOS
特徴製品名項目
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
セキュアOS、TrustedOS製品一覧
セキュアセキュア OS OS (ドライバ型)(ドライバ型)
高
低
セキュリティ強度
セキュアOSセキュアカーネル型
運用のしやすさ
低
高
セキュアセキュアOSOS(カーネル型)(カーネル型)
Trusted OS
適用範囲
PitBull Foundation SuitePitBull Foundation Suite
Trusted SolairsTrusted Solairs
SELinuxSELinux
PitBull LXPitBull LX
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
3
強制アクセス制御機能比較
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
SELinuxSELinux ––強制アクセス制御機能強制アクセス制御機能
Type Enforcement Role-Based Access Controlを採用
1. TEのアクセス制御をRBACによってさらに制御して
強制アクセス制御を実現
2. アクセスルールをセキュリティポリシーとして記述
ポリシーに記述のないアクセスは拒否
3. ドメイン遷移による権限の昇格を明示的に定義4. targetedポリシー (システムの一部をSELinux化)
strictポリシー (システム 全体をSELinux化)
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
4
SELinuxSELinux ––強制アクセス制御機能強制アクセス制御機能
- Type Enforcement & Role-Based Access Control -
httpdデーモンのコンテンツファイルへのアクセス許可
allow httpd_t httpd_content_t:file { read };
allow named_t named_zone_t:file { read };
コンテンツ
httpd
ゾーンファイル
namedhttpd_t
httpd_content_t
named_t
named_zone_t
read onlyread only
namedデーモンのゾーンファイルへのアクセス許可
Apache(httpd)とBIND(named)のセキュリティポリシーを記述した場合
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
PitBullPitBull LX LX ––強制アクセス制御機能強制アクセス制御機能
1. DBACのセキュリティ属性(ドメイン)よる強制アクセス制御の実現
2. ドメインの比較によるアクセス可否の判断
プロセスのドメインとファイルのドメインが同じであれば、許可されて
いる範囲内でアクセスできる。異なるドメインの場合、プロセスは
ファイルにアクセスすることはできない
3. プロセスセキュリティフラグによるアクセス権限の制限
4. LXAware (PitBullの機能が有効な部分)
LXUNaware (PitBullの機能が無効な部分)
Domain-Based Access Control を採用
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
5
PitBullPitBull LXLX ––強制アクセス制御機能強制アクセス制御機能- Domain-Based Access Control -
Apache(httpd)とBIND(named)にドメインを割り当てた場合
コンテンツ
httpd
ゾーンファイル
namedWEB(r--)
WEB(rwx)
DNS(r --)
DNS(rwx)
WEBドメイン DNSドメイン
read onlyread only
LX Aware LX Aware All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
PitBullPitBull FS FS ––強制アクセス制御機能強制アクセス制御機能
1. MLSによる上下階層、TEによる横区分による多面的制御、
さらにRBACによる権限の分割によって強制アクセス制御の実現
2. セキュリティ属性(SL:SensitivityLabels)の比較による
アクセス可否の判断プロセスのSLとファイルのSLを比較して、プロセスのSLがファイルのSLより上位であればアクセスできる。下位の場合はアクセスできない
3. 特権による例外的なアクセス権限の許可
4. 権限による特権使用の制限
Multi-Level Security & Type Enforcement &Role-Based Access Control を採用
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
6
PitBullPitBull FSFS ––強制アクセス制御機能強制アクセス制御機能- Multi-Level Security & TE & RBAC -
アクセス不可
TopSecret
コンパートメント
クラシフィケーション
Confidential
Public
Unclassified
Web DNS
読込み権と実行権を許可
アクセス不可
httpd named
コンテンツ ゾーンファイル
read onlyread only
CON WEB
PUB WEB
CON DNS
PUB DNS
TrustedSolarisも同様のMLSを採用して強制アクセス制御を実現
Apache(httpd)とBIND(named)にSLを割り当てた場合
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
導入実績比較
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
7
SELinuxSELinux ––導入実績導入実績
まだまだ発展途上な技術のため、研究開発が中心大きな導入事例などは公開されていない
1. 日本SELinuxユーザ会 準備委員会の立ち上げ
・メーリングリスト、ドキュメントの翻訳など
2. 日立ソフトウェアエンジニアリング株式会社
・設定ツールのSELinux/Aidの開発、書籍出版
3. ターボリナックス株式会社
・Turbolinux10ServerへのSELinux搭載
4. 日本高信頼システム株式会社
・SELinux教育スクールコースの開催
導入実績は少ないが、SELinux普及の活動は活発になっている
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
PitBullPitBull ––導入実績導入実績
豊富な導入、数々のセキュリティ賞の受賞実績
2001 eWeek
最優秀ソフトウェア賞受賞
ベストテクニカルセキュリティソリューション
(ドイツASPコンソーシアム2001)
CNET編集者が選んだ最優秀セキュリティ製品
導入企業例
・国内官公庁 (Web公開サーバ)
・DoD, CIA, US Army (国防機関)
・Sandia National laboratories (政府機関)
・TrustCenter (CA認証局)
・Credit Swiss (オンラインバンキング)
・Indentrus (CA認証局)
・Chase Manhattan (Webバンキング)
・Bank Julius Baer (オンライン資産管理)
・Union Bank of Switerland (ビル・ペイメント)~16カ国100社以上へ導入実績~
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
8
PitBullPitBull ––導入実績導入実績2000年アメリカ合衆国 ハッキングコンテスト OpenHackⅡ
通常のUNIX+多段Firewall+IDSで配置したが6日で突破される
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
PitBullPitBull ––導入実績導入実績
Open HackⅢ2001
PitBullPitBullのみでのみで1177日間(開催全期間)防御日間(開催全期間)防御
FirewallFirewall、、IDSIDS等は一切配置していない等は一切配置していない
・17日間 4種類のサーバ mail/DNS サーバなど・複数のWebサイト(アカウント/パスワードの公開)・Telnetサーバ (アカウント/パスワードの公開)
→ PitBullのセキュリティ対策のみで防御
・540万超のアタック (Openhack Ⅱの10倍)・40,000超のアタッカーがログイン・ハッカーはルートアカウントを入手(bindのバグを利用)
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
9
●●●●●SecuveTOS
●●●●●PitBull Protector Plus
●●●●●MIRACLE HizardセキュアOS
(ドライバ型)
●hp Compartment Guard
●SELinux
●●●PitBull LXセキュアOS
(カーネル型)
●●PitBull Foundation Suite
●Trusted SolarisTrustedOS
WinLinuxHP-UXAIXSolaris製品名カテゴリ
対応プラットフォーム比較
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
メリット、デメリット
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
10
SELinuxSELinux ––メリットメリット
オープンソース、カーネル2.6に標準装備、新機能が続々追加
1. カーネル2.6に標準装備• 追加的なコストは不要
2. 商用ディストリビューションへの採用• LinuxのセキュアOSの標準となる可能性
3. 新機能が続々追加• targeted、strictポリシーの追加、boolean機能の搭載など
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
SELinuxSELinux ––デメリットデメリット
オープンソースの課題であるサポート体制の欠落
1. サポート体制の欠落• システム導入にはサポート体制が絶対必要
2. 扱えるエンジニアの育成• システム導入には扱えるエンジニアが必要
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
11
PitBullPitBull ––メリットメリット
PitBull開発元米国アーガス社、日本総代理店インフォコム社、マスターリセラーによるサポートの充実
1. 24時間365日サポート体制の確立• トラブル時の24時間の電話受付、オンサイト対応
2. 豊富な導入実績• 世界16カ国100社以上の導入実績
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
PitBullPitBull ––デメリットデメリット
製品そのものの価格が高い、機能開発が停滞気味
1. PitBull自身の価格が高い• 初期投資が高い• PitBull Foundation Suite ¥ 4300000
• PitBull LX for Solairs ¥ 1500000• PitBull LX for Linux ¥ 680000
2. 追加的機能の開発が停滞• アクセスログの出力機能がない• GUI管理ツールがない
• セキュリティポリシーサンプルファイルの不足
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
12
• パッチマネージメントの効率化– TrustedOS– セキュアOS(カーネル型)
• マルチプラットホームへの導入– セキュアOS(ドライバ型)
• Solaris、HP、AIX、Linux、Windows
• GUI制御(設計/実装の簡易さ)– セキュアOS(ドライバ型)
• システムの統合化による経費削減– 大規模システム、中規模システム、小規模システム
導入時の選択の仕方
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
• セキュリティポリシー定義がやや複雑→ 使いやすさにはツールの開発が必須
• セキュリティポリシー策定(ISMS)→ どのデータへ誰をアクセスさせるのかといった設計が重要
(設計を誤るとセキュアOSでも不正行為を防げない)
• ユーザ認証が弱い→ 通常のBasic認証のみ。物理的な認証によって補強が必須
• データの保護をするわけではない→ セキュアOSはアクセス制御のみ。データの暗号化は別途補強
共通する課題
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
13
• SELinux→ 商用ディストリビューションが採用(Turbolinux,RedHat)→ 新機能が続々追加、今後のセキュアOSの中心となる可能性→ サポート体制の確立が必須
• PitBull→ 過去の成功体験から安住し、機能開発の停滞→ 不足している機能が多々ある→ 追加の機能開発が必須
• TrustedSolaris→ Solaris10へセキュリティ機能をマージ→ LSPPオプションによってMLS機能を実現→ サン・マイクロシステムズ社のサポート開始
まとめ
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004
ご清聴ありがとうございました
日本高信頼システム株式会社田口 裕也
All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004