Seguridad informática

SAP Innovation Awards 2019

FIPS 140-2 standard

La publicación FIPS 140-2, "Requisitos de seguridad para módulos criptográficos", es un estándar de seguridad informática del gobierno de EE. UU. Muchos otros estándares de la industria, como DSS y DISA SRG / STIG, dependen de los módulos de criptografía certificados por FIPS 140-2. Las pruebas y los requisitos de FIPS 140-2 aseguran que los sistemas criptográficos que se validan cumplen con los estándares más recientes, utilizan la longitud de clave adecuada y crean claves y texto cifrado correctos. La validación también confirma que el módulo se comporta según lo definido y documentado si se ejecuta en modo FIPS.

SUSE Linux Enterprise Server 12 contiene siete módulos de seguridad criptográfica validados para FIPS 140-2. La validación fue realizada por atsec y certificada por NIST (CMVP). SUSE revalida periódicamente estos módulos.

Certificaciones de seguridad de criterios comunes.

SUSE recibió certificados de criterios comunes en el nivel de garantía de evaluación EAL4, aumentado por ALC_FLR.3 (EAL4 +) para SUSE Linux Enterprise Server 12 BSI-DSZ-CC-0962-2016 y SUSE Linux Enterprise Server 11 SP2 (BSI-DSZ-CC-0787- 2013 y BSI-DSZ-CC-0852-2013) incluida la virtualización KVM en x86_64 e IBM System z. Para lograr las certificaciones, los productos y procesos de SUSE para desarrollar y mantener sus productos pasaron una rigurosa evaluación de seguridad realizada por atsec information security. Los certificados fueron emitidos por Bundesamt für Sicherheit in der Informationstechnik (BSI). la Oficina Federal Alemana de Seguridad Informática. Los Criterios Comunes para la Evaluación de la Seguridad de la Tecnología de la Información es un estándar internacional (ISO / IEC 15408) reconocido por 26 países en todo el mundo.

STIG
Las STIG (Guías de implementación técnica de seguridad) son desarrolladas por DISA (Agencia de sistemas de información de defensa) para el Departamento de Defensa de EE. UU. STIG son guías de configuración de seguridad para sistemas de refuerzo, destinadas a usuarios de campo militar. Cuando se lanza oficialmente, su aplicación es obligatoria para los usuarios del Departamento de Defensa. Los hallazgos del endurecimiento son relevantes más allá, incluidas las aplicaciones comerciales.

DISA ha desarrollado con SUSE un STIG formal para SUSE Linux Enterprise Server 12 en el rol de Sistema operativo de propósito general. El STIG está disponible en IASE y el servidor de archivos SUSE.

SUSE está trabajando para agregar contenido de automatización a este manual STIG formal en formato SCAP. También estamos trabajando para ampliar el contenido de STIG con más funciones.

FSTEC
El Servicio Federal de Control Técnico y de Exportaciones es responsable de la seguridad de la información y la protección de la tecnología rusa. SUSE Linux Enterprise Server 11 SP3 tiene la certificación FSTEC (POCC RU.0001.01Би00).

Endurecimiento del sistema
El endurecimiento del sistema es el proceso de configurar de forma segura los sistemas informáticos para eliminar tantos riesgos de seguridad como sea posible. Se pueden realizar configuraciones integrales de refuerzo del sistema en el Centro de seguridad de YaST2. También existen guías sobre elementos y procedimientos de seguridad y endurecimiento que se aplican mejor a un servidor tanto durante la instalación como después de la instalación y que tienen como objetivo mejorar la adecuación del sistema para los fines exigidos por los administradores.

Arranque seguro UEFI
La compatibilidad de SUSE Linux Enterprise Server para UEFI Secure Boot protege el proceso de arranque al evitar la carga de controladores o cargadores de SO que no estén firmados con una firma digital aceptable. Vea los detalles aquí.

OpenSCAP
Se han agregado herramientas y bibliotecas OpenSCAP en SUSE Linux Enterprise Server desde SUSE Linux Enterprise Server 11 Service Pack 2. OpenSCAP es un conjunto de bibliotecas de código abierto que proporcionan una ruta para la integración de SCAP (Protocolo de automatización de contenido de seguridad). SCAP es una colección de estándares administrados por NIST con el objetivo de proporcionar un lenguaje estándar para la expresión de información relacionada con Computer Network Defense. Para obtener más información sobre SCAP, consulte http://scap.nist.gov.

FIREWALL
Los productos SUSE Linux vienen con un filtro de paquetes que está habilitado de forma predeterminada y se puede configurar con YaST2 o A través de Camaleon Firewall desde la línea de comandos para ajustarse a las necesidades de una implementación específica.

Subsistema de auditoría
El marco de auditoría de Linux permite el registro detallado de eventos relevantes para la seguridad y crea una pista de auditoría que permite rastrear la raíz de una posible violación de seguridad. Este sistema de auditoría cumple con los requisitos de una Evaluación de Criterios Comunes en EAL4.

Cifrado del sistema de archivos
Los datos en reposo deben cifrarse cuando son "confidenciales", especialmente cuando se almacenan en dispositivos móviles y dispositivos de almacenamiento externos. SUSE Linux Enterprise admite el cifrado de disco completo, así como contenedores y particiones cifrados.

Transport Layer Security
Para el cifrado de transmisiones de datos a través de redes que no son de confianza, muchos servicios incluidos en los productos SUSE Linux pueden utilizar Transport Layer Security (TLS).

Actualizaciones de seguridad
El software nunca estará libre de fallas. SUSE Linux ofrece actualizaciones en línea de seguridad y no relacionadas con la seguridad que mantienen sus sistemas seguros durante su vida útil.

Las funciones de seguridad mencionadas anteriormente cumplen con los requisitos de PCI DSS para sistemas operativos y lo ayudarán a crear un entorno de TI con SUSE Linux que cumpla con PCI DSS.

Endurecimiento del proceso
Creamos muchos de nuestros paquetes de software con medidas de seguridad adicionales que protegen el proceso en ejecución contra muchas técnicas de explotación que involucran fallas de memoria.