SOA Pilot 2011 - demonstrating secure exchange of information between security domains

Abstract

English summary The work described in this document is performed within the context of a SOA Pilot activity undertaken by FFI during the spring of 2011. The overall goal of the SOA Pilot was to show the benefits of Service Oriented Architectures (SOA) and the value added by exposing the information available in different systems through well-defined services, including information from legacy systems. This activity also included the secure exchange of information between security domains using a prototype guard. Security domains are important constructs used to protect information from unauthorised access and prevent information leakage. The military security domain concept is based on the BellLaPadula model and this model can in short be described as allowing information to flow from a low to a high security domain, but not the other way in order to prevent information leakage. A high security domain can still contain information of lower classification. Even though this information can be valuable for users in lower domains and these users are cleared to view it, it cannot be accessed. At the same time the military organisations and thus also information systems are moving towards the concept of Networked Enabled Capability (NEC). In NEC the perhaps most important tenet is the need to share information or the right information to the right user at the right time. In this document a proposed solution for securely exchanging information between security domains is presented. The theory behind the solution is presented as well as a prototype implementation of the solution. The proposed solution relies heavily on the concept of Object Level Protection (OLP). In short OLP consist of three building blocks; metadata, data and protection mechanisms. Information assurance metadata is used to describe the needs for protection of data, and protection mechanisms use the metadata as basis for their handling of the data. For instance confidentiality metadata attached to data can be used as a basis for a release decision made by a guard placed between a high and a low security domain. In the solution presented in this document, proposed NATO standards for confidentiality metadata (also called a confidentiality label) and the binding of metadata to data (metadata binding) are used. These proposed standards have been developed within the NATO RTO IST-068/RTG-031 research task group and FFI has been the editor and provided substantial contributions to them. The solution presented in this document also features a prototype guard capable of securely exchanging SOAP messages between domains developed by FFI.

Sammendrag Arbeidet beskrevet i dette dokumentet er utført i sammenheng med SOA pilot aktiviteten som FFI var en svært viktig del av våren 2011. Hovedformålet med SOA piloten var å demonstrere nytteverdien av tjenesteorientert arkitektur (SOA) og den tilgjengeliggjøringen av informasjon gjennom kjente grensesnitt som er mulig med denne teknologien. Eksisterende kommando og kontrollsystemer ble derfor tjenesteorientert og informasjonen som disse innholder ble gjort tilgjengelig for potensielle konsumenter. En løsning for utveksling av informasjon ble også demonstrert ved bruk av SOA-tjenester mellom forskjellige sikkerhetsdomener. Sikkerhetsdomener brukes i dag for å beskytte konfidensialiteten til informasjon. Sikkerhetsdomener og de tilhørende mekanismene skal hindre uautorisert tilgang til, og dermed også lekkasje av, informasjon. Kort beskrevet gjøres dette ved at informasjon kan flyttes fra et lavere gradert til et høyere gradert domene, men ikke andre veien. Samtidig beveger den militære organisasjonen og dermed også informasjonssystemene seg mot et Nettverksbasert Forsvar (NbF) hvor tilgang til rett informasjon til rett tid for rett bruker er svært viktig. Siden det kan eksistere informasjon i et høyere gradert domene som er av lavere gradering, og som kan være av nytte for brukere i domener med lavere gradering, er det behov for en løsning for å flytte informasjon sikkert mellom domener. Denne løsningen må ta hensyn til både behovet for beskyttelse av informasjon og behovet for å dele informasjon. Dette dokumentet skisserer en foreslått løsning for sikker utveksling av informasjon mellom sikkerhetsdomener. I tillegg skisseres teorien og grunnlaget for den foreslåtte løsningen. Den foreslåtte løsningen baserer seg på bruk av prinsippene rundt objektnivå sikkerhet (Object Level Protection (OLP)). Kort kan dette forklares ved at hvert objekt blir behandlet av beskyttelsesmekanismer etter dets individuelle behov for beskyttelse, dette behovet er beskrevet ved hjelp av metadata. Beskyttelsesmekanismer gjør sine vurderinger basert på de metadata som er knyttet til objektet og ikke infrastrukturen slik som i dag. En slik beskyttelsesmekanisme kan være en guard som inspiserer all informasjon som skal flyttes fra høyt til lavt domene. I løsningen som er utviklet og skissert i dette dokumentet brukes en foreslått NATO standard for konfidensialitets metadata (også kalt konfidensialitetsmerke) og en annen foreslått NATO standard for å binde metadata til informasjonsobjekter. FFI har vært editor for disse, som begge er tatt fram av forskningsgruppen NATO RTO IST-068/RTG-031. En prototype guard-løsning som kan håndtere SOAP meldinger er også utviklet ved FFI.