Information sharing across security domains

Abstract

Security is recognized as one of the main technological challenges in realizing the potential of Network Based Defence. In particular, cross-domain information sharing is subject to significant security concerns, especially when there is a larger security span between the domains. This report considers alternative approaches to enable sharing of information between security domains, with a focus on providing the necessary assurance in the information flow control. This includes transfer mechanisms such as one-way diodes, manual review, security filters, and guards, as well as access solutions providing users access to multiple security domains. Guards using security labels as part of the basis for their release decisions are found to provide the most general solution for two-way automatic information transfer between domains. The correctness of the security labels is then critical for secure information flow control. While cryptographic mechanisms can be used to ensure the authenticity of the labels, a more fundamental problem is how to ensure that the security labels are correct in the first place. The report considers different approaches to provide sufficient confidence in the correctness of security labels, using content and origin as the two bases for establishing the security properties (e.g., confidentiality classification) of a data object. Several mitigations are also identified to further enhance security in cross-domain transfer scenarios. The specific information exchange requirements of a given scenario, as well as the operational environment, provide the basis for choosing among the different cross-domain solutions presented. Domain isolation should still be the default unless information exchange requirements justify a cross-domain interconnection. Where a one-way information flow from Low to High is sufficient, a one-way diode is preferable. Where two-way transfer of information objects between security domains is required, a label based guard should generally be used although the use of a simpler security filter may be justified in lower risk scenarios. Provided that security labels can be trusted to be correct, a label based guard can provide significantly better protection against data exfiltration attempted by a human insider or targeted malware being present on the High side, than a simpler security filter. However, in many scenarios, it can be a significant challenge to assure the trustworthiness of security labels. Access solutions, providing access to multiple security domains from a single machine, have the advantage of limiting actual information transfer between security domains and do not require labelling of information. However, a centralized approach seems to be required in the case of many users. The report also contains two appendixes:Appendix A provides a survey of existing solutions and literature with regard to guards, security filters, and security labelling. While many solutions are available providing a wide range of functionality, most solutions are found to be based on operating systems providing limited assurance (evaluated at EAL4), indicating that they are not certifiable at higher assurance levels. Appendix B provides an overview of concepts, technologies, and products that can potentially be used in order to build cross-domain solutions, including a survey of high assurance operating systems, hardware security mechanisms available on commodity platforms, and Attribute Based Access Control.

Informasjonssikkerhet er ansett som en av de viktigste teknologiske utfordringene for å realisere Nettverksbasert Forsvar. Spesielt byr utveksling av informasjon mellom sikkerhetsdomener på store sikkerhetsutfordringer, særlig hvis sikkerhetsspennet mellom domenene er stort. Denne rapporten vurderer ulike metoder for deling av informasjon mellom sikkerhetsdomener, med fokus på å oppnå tilstrekkelig tillit til kontrollen av informasjonsflyten. Dette inkluderer enveis dioder, manuelle review-prosesser, sikkerhetsfiltre og guard-løsninger. I tillegg diskuteres løsninger for å gi aksess til informasjon i flere sikkerhetsdomener, uten nødvendigvis å koble dem sammen. Guard-løsninger betraktes som den mest generiske tilnærmingen. Disse løsningene gir nødvendig fleksibilitet til å dekke de fleste brukstilfeller og baserer sine avgjørelser på blant annet sikkerhetsmerker knyttet til informasjonen. Korrektheten til sikkerhetsmerker er da kritisk for kontrollen av informasjonsflyten mellom sikkerhetsdomener. Det å forsikre seg om at korrekt sikkerhetsmerke blir påført informasjonen i første omgang er et vanskelig problem. Etter påføring kan imidlertid kryptografiske metoder brukes for å sikre autentisiteten av både sikkerhetsmerker og informasjon. I rapporten drøftes ulike tilnærminger for å sikre korrektheten av sikkerhetsgraderingen og andre sikkerhetsattributter som skal inngå i et sikkerhetsmerke. Flere risikoreduserende tiltak som ytterligere kan øke sikkerheten når informasjon flyttes mellom sikkerhetsdomener, blir også identifisert. Hvilken løsning som bør brukes, avhenger av det gitte scenarioet, det operasjonelle miljøet og kravene til informasjonsutveksling. Hvis det ikke er krav om å utveksle informasjon mellom domener, bør isolasjon av domener fortsatt være utgangspunktet. Dersom det kun kreves enveis informasjonsflyt fra lavt til høyt domene, bør en diodeløsning brukes. Der toveis informasjonsutveksling er nødvendig bør en guard-løsning brukes. Sikkerhetsfiltre kan også brukes for toveis informasjonsutveksling i scenarioer med lav risiko, men en guard gir betydelig bedre beskyttelse mot målrettet skadevare hvis sikkerhetsmerker er korrekte og pålitelige. I mange scenarioer kan det imidlertid være en betydelig utfordring å etablere nødvendig tillit til sikkerhetsmerker. Aksessløsninger som gir brukeren tilgang til informasjon fra flere sikkerhetsdomener, har den fordelen at informasjonen ikke flyttes mellom domenene og derfor ikke trenger å merkes. Det å ha mange terminaler knyttet opp mot flere domener samtidig er imidlertid også en sikkerhetsrisiko, da de kan kompromitteres og brukes til å omgå sikkerhetsmekanismene som skiller domenene. En slik løsning kan være aktuell for noen få brukere, men generelt vil en sentralisert løsning være nødvendig. Denne rapporten inneholder også to appendiks:Appendiks A gir en oversikt over litteratur og eksisterende guard- og sikkerhetsfilterløsninger samt løsninger for merking av informasjon. Det er mange slike løsninger tilgjengelig, med mye ulik funksjonalitet. De fleste av disse løsningene er basert på bruk av operativsystem med begrenset tillitsnivå (evaluert til EAL 4), noe som indikerer at sertifisering til høyere tillitsnivå ikke er realistisk. Appendiks B gir en oversikt over konsepter, teknologier og produkter som potensielt kan brukes til å bygge løsninger for informasjonsutveksling mellom sikkerhetsdomener. Dette inkluderer oversikt over operativsystem med høyt tillitsnivå, maskinvarebaserte sikkerhetsmekanismer på standard hyllevare samt attributtbasert tilgangskontroll.