IBM e SuSE: una coppia sicura

IBM e SUSE LINUX hanno annunciato di aver ottenuto nuovi livelli di certificazione per funzionamento e sicurezza di SUSE, che incrementeranno ulteriormente l'adozione di Linux da parte delle istituzioni, come il Dipartimento della difesa, per operazioni critiche di comando e controllo.

SUSE LINUX Enterprise Server 8 con Service Pack 3 su IBM eServer ha ottenuto la conformità Controlled Access Protection Profile nell'ambito del Common Criteria for Information Security Evaluation (CC), comunemente denominato CAPP/EAL3+.

Questo riconoscimento rappresenta un notevole progresso rispetto allo scorso agosto, quando IBM e SUSE annunciarono di aver ottenuto la prima certificazione di sicurezza per Linux. Allora, la certificazione EAL2+ era stata annunciata per la linea eServer xSeries di IBM. Oggi la certificazione CAPP/EAL3+ abbraccia l'intera linea di prodotti IBM eServer: sistemi iSeries, xSeries, pSeries e zSeries, oltre ai sistemi basati su AMD Opteron

La certificazione CAPP/EAL3+ di Linux espande sia le capacità funzionali che la fiducia nelle funzioni di sicurezza di Linux oltre il livello EAL2+. Questo risultato è stato reso possibile mediante l'aggiunta di un sottosistema di auditing a SUSE LINUX Enterprise Server 8, che consente il controllo degli eventi di sicurezza critici. La certificazione CAPP/EAL3+ ha richiesto test e analisi più esaurienti.

IBM e SUSE LINUX hanno inoltre annunciato la conformità COE (Common Operating Environment) su piattaforme IBM xSeries e zSeries con SUSE LINUX Enterprise Server 8, unitamente al supporto per pSeries e iSeries che sarà disponibile nel primo trimestre 2004. Questo risultato garantisce che SUSE LINUX è il primo distributore Linux in grado di offrire la conformità Common Criteria e COE nello stesso pacchetto, offrendo l'opportunità di eseguire applicazioni operative in ambiente sicuro. COE, una specificata creata dal DoD (US Department of Defense), risponde ai requisiti di funzionalità e interoperabilità dei prodotti IT commerciali nell'ambito dei propri sistemi di comando e controllo.

La valutazione è stata completata da atsec information security GmbH, una società di consulenza per la sicurezza IT vendor-independent tra le più note del mondo, accreditata in Germania da BSI (l'ente federale per la sicurezza).

Common Criteria (CC) è uno standard ISO (ISO/IEC 15408), riconosciuto a livello internazionale, utilizzato dal governo federale e da altre organizzazioni per valutare sicurezza e garanzia dei prodotti tecnologici. CC fornisce un metodo standardizzato per esprimere i requisiti di sicurezza e definisce i relativi set di rigorosi criteri tramite i quali avviene la valutazione dei prodotti. È ampiamente riconosciuto tra professionisti IT, enti governativi e clienti come "contrassegno di approvazione" per il software mission-critical.

Nell'ambito di Common Criteria, i prodotti vengono valutati sulla base di standard restrittivi in relazione a numerose caratteristiche, quali ambiente di sviluppo, funzionalità di sicurezza, gestione delle vulnerabilità a livello di sicurezza, documentazione relativa alla sicurezza e test di prodotto. Con la certificazione di SUSE LINUX Enterprise Server 8 su sistemi IBM eServer, atsec information security GmbH ha valutato la metodologia di sviluppo, test e manutenzione dei prodotti da parte di SUSE Linux, analizzando inoltre i processi in vigore presso SUSE Linux per la gestione dei problemi di sicurezza dei propri prodotti software.