GCHQ muốn xử trí vấn đề rõ ràng về an ninh của nguồn mở

Mark Ballard Friday 23November 2012 13:26

Theo:http://www.computerweekly.com/news/2240172752/GCHQ-aims-to-tackle-open-source-security-clearance-problem

Bài được đưa lênInternet ngày: 23/11/2012

Lờingười dịch: Ở nước Anh, đám công ty sở hữu độcquyền chuyên nghề reo rắc sự sợ hãi, không chắc chắn,nghi ngờ - FUD về việc phần mềm nguồn mở (PMNM) làkhông an ninh, cũng đã dùng mọi thủ đoạn “bẩn” đểchứng minh rằng các trình ảo hóa sở hữu độc quyềnmới có an ninh, đặc biệt với công nghệ ảo hóa trongchương trình điện toán đảm mây G-Cloud của chính phủAnh. Tiếc cho họ là CESG, cơ quan chịu trách nhiệm về anninh CNTT của chính phủ Anh cho tới bây giờ vẫn khôngchiều theo ý của họ, dù một phần lỗi làm cho thịtrường thất bại, là thuộc về chính phủ. “Nếu điềunày là về sự khuyến khích nền kinh tế, thì chính phủnên đầu tư tiền cho nó. Nếu chính phủ muốn một cộngđồng số vững mạnh, một cộng đồng PMNM vững mạnh,thì chính phủ có thể loại bỏ một số rào cản. Chiphí chững chỉ CESG là một ví dụ đầu tiên của mộtsự thất bại của thị trường. Chính phủ nên đặttiền vào để làm cho nó đúng”. Bạnhãy đọc hết để có được bài học có thể dùng đượcở Việt Nam.

Các dịch vụ an ninhcủa Anh đã bắt đầu việc thu hẹp khoảng cách từnglàm dừng phần mềm nguồn mở (PMNM) có được sự rõràng về an ninh để sử dụng trong các hệ thống củachính phủ.

Sáng kiến đó đãtới quá muộn để dừng thắng lợi hợp đồng lớn đầutiên phân phối theo phươngtiện mua sắm G-Cloud hàng đầu của chính phủ đang đitới một nhà cung cấp đã lảng xa các sản phẩm nguồnmở vì chúng đã không có được sự tin cậy về an ninh.

Các nhà cung cấpnguồn mở trong khi đó khẳng định sự khóa chứng chỉđã không loại bỏ các phần mềm của họ khỏi các hệthống của chính phủ - mà nó đã cho phép các nhà cungcấp sở hữu độc quyền dấy lên các nghi ngờ về anninh của nguồn mở.

CESG, cơ quan an ninhCNTT của Tổng hành dinh về Truyền thông của Chính phủ(GCHQ), đã bắt đầu làm việc với một doanh nghiệp nhỏvô danh của Anh đã đồng ý tài trợ một hệ thống mạngriêng ảo (VPN) nguồn mở thông qua những sự làm rõ vềan ninh tích cực của nó.

Hãng nhỏ này là nhàcung cấp nguồn mở đầu tiên phá được sựbế tắc từng làm dừng các PMNM có được sự làm rõ vềan ninh của CESG.

Chứng chỉ củaCESG tới với một chi phí

Cộng đồng nguồn mởphát đạt trong sự cộng tác để giải quyết các vấnđề. Nhưng sự phân mảnh về thương mại của nó và sựáp đảo của các nhà cung cấp nhỏ đã tạo ra một môitrường nơi mà các công ty riêng rẽ từng không có thiệný mạo hiểm đầu tư vào chứng chỉ của CESG, chỉ chocác công ty lớn hơn với sự mở ra tốt hơn cho khu vựcnhà nước gặt hái được các lợi ích.

Giải pháp của chínhphủ từng là yêu cầu các nhà cung ấp lớn đỡ đầucho PMNM thông qua qui trình làm rõ về an ninh. Nhưng các nhàcung cấp lớn đã trì hoãn đặt trọng tâm của họ đằngsau nguồn mở.

Computer Weekly hiểuCESG thay vào đó đã bắt đầu làm việc với Bộ Doanhnghiệp, Đổi mới và Kỹ năng để tuyển mộ các nhàcung cấp PMNM bằng việc thuyết phục họ có một trườnghợp nghiệp vụ trong việc đặt ra tiền cần thiết. Họđang hình thành một cách hỗ trợ cho việc đỡ đầu lốivào của các hãng trong thị trường CNTT khu vực nhà nước16 tỷ £.

Philip Dawson, CEO củaSkyscape, một nhà cung cấp đặt chỗ đã đảm bảo cho 2hợp đồng lớn của G-Cloud, nói hãng đã bỏ qua các PMNMkhi xây dựng nền tảng trung tâm dữ liệu của mình vìsự không chắc chắn về tình trạng an ninh.

Skyscape xây dựng dịchvụ của mình trên phần mềm được người khổng lồ ảohóa VMware cung cáp, với cái đó nó đã tạo thành mộtliên minh thương mại.

“Tôi là một ngườibảo vệ lớn của các công nghệ nguồn mở” - ở mộtđiểm”, Dawson nói. “Rồi thì điểm đó là ai cầm nólên và làm cho nó tin cậy được và đầu tư vào nó, vàai có lợi từ nó? VMware vSphere 4.1 là trình ảo hóa duynhất đã được CESG tin cậy. Đây từng là một yếu tốtrong quyết định của chúng tôi về việc ai sẽ là đốitác của chúng tôi. Bạn phải thực sự nằm trong ruộtcủa nó để hiểu bằng cách nào nó làm việc để cóđược sự tin cậy. Và đó là những gì VMware đã đầutư khi làm việc với CESG”.

Tuy nhiên, ComputerWeekly hiểu rằng VMware còn chưa có được một chứng chỉan ninh đầy đủ, được gọi là Bảo an Sản phẩm Thươngmại CESG (CPA), cho phần mềm ảo hóa của nó. Nó đã làmviệc tích cực với CESG và đang phấn đấu có chứngchỉ, nhưng nó đã chỉ có cho tới này danh sách các phầnmềm được phân loại mà CESG nói có thể được chínhphủ sử dụng, nhưng còn chưa được thông qua những kiểmthử nghiêm ngặt của một chứng chỉ chính thức.

CESG được cho làđang làm việc với các nhà cung cấp ảo hóa khác, nhưngđang chưa đánh giá bất kỳ lựa chọn thay thế nguồn mởnào. Tuy nhiên, không trình ảo hóa nào đạt được chứngchỉ, vì cơ quan này đang đánh giá các tham số an ninh củacông nghệ này nói chung. VMware đã giúp làm điều này. Vìthủ tục kiểm thử chính thức đã và đang được pháttriển, CESG đã tiếp cận nó như một vấn đề quản lýrủi ro.

Kate Craig-Wood, giámđốc quản lý của Memset, nhà cung cấp đặt chỗ kháccủa G-Cloud, nói VMware đã làm một “yêu sách để đượcnổi tiếng” rằng nó đã có chứng chỉ của CESG, nhưngđiều đó là vô ích.

Memset sử dụng trìnhảo hóa Xen nguồn mở. Nó đã đạt tới một sự tin cậyxuyên chính phủ của CESG cho dịch vụ của mình, kết hợpvới trình ảo hóa nguồn mở, thậm chí bản thân Xen cònchưa có chứng chỉ. Sự tin cậy của Memset đã bao gồmcác kiểm thử thâm nhập “hung hăng” đối với trìnhảo hóa về an ninh Mức tác động 3 (IL3), tiêu chuẩn chonhững giao tiếp ngặt nghèo của chính phủ.

Craig-Woodnói bà, như một đồng lãnh đạo kỹ thuật của các dựán thí điểm của chương trình G-Cloud, đã thiết lậpnguyên tắc rằng bất kỳ phần mềm ảo hóa nào có thểđược sử dụng để đặt nhiều máy chủ lên cùng mộtmáy, bất kể chứng chỉ an ninh phần mềm nào, miễn làcác máy chủ khác bản thân chúng tất cả có mức an ninhnhư nhau.

“Tôi tin tưởng rằngvẫn có các tiêu chuẩn”, bà nói. “Mọi người đangvội vã lên ảo hóa. Mọi người làm một vấn đề lớnngoài VMware so với Xen, Nhưng đó không phải là vấn đềlớn. Bạn cần phải có một kho hạ tầng tách bạchtrong cái IL3 bằng bất kỳ cách gì, vì nó không thể kếtnối được tới Internet công cộng. Nó được kết nốitới Mạng của Khu vực Nhà nước. Có khả năng sử dụngXen theo thiết lập đó. Nếu một số người vẫn có mộtvấn đề thì chúng tôi chỉ cung cấp một đám mâyriêng”.

Việc quản lý cácrủi ro của nguồn mở

Mộtngười phát ngôn của CESG nói: “Tiếp cận của CESG choviệc tin cậy các dịch vụ G-Cloud không dựa chỉ vào sửdụng các sản phẩm từng được đánh giá chính thứcrồi. Thay vào đó, tiếp cận đó đòi hỏi các nhà cungcấp thể hiện cách mà họ đang quản lý rủi ro. Nókhông loại trừ sử dụng các phần mềm nguồn mở”.

Sự lúng túng vềchứng chỉ nguồn mở dù vậy đã làm dừng các cơ quankhu vực nhà nước mua các PMNM, và cho phép các nhà cungcấp phần mềm sở hữu độc quyền thuyết phục cáckhách hàng nguồn mở là không an toàn, như Trungtâm dữ liệu máy tính đã làm tại Bristol vào năm ngoái.

Giải pháp của chínhphủ năm ngoái từng là gửi đi một đoàn tới Bristolgiải thích rằng quyết định của nó về việc liệu cósử dụng một hệ thống thư điện tử nguồn mở haykhông từng là một vấn đề đối với quan chức về rủiro của riêng nó. Nhưng các quan chức về rủi ro vẫn cònchưa chắc chắn về PMNM chưa được cấp chứng chỉ.

Chính phủ đã yêucầu các nhà cung cấp lớn đỡ đầu cho PMNM thông qua sựlàm rõ về an ninh, nhưng họ từng phớt lờ hợp tác,thậm chí dù họ kết hợp các yếu tố nguồn mở trongcả các hệ thống chung và được đặt hàng mà bản thânhọ phải có một sự tin cậy của các quan chức về rủiro theo chỉ dẫn của CESG.

AleeMuffett, nhà tư vấn về an ninh cho Surevine, một nhà cungcấp nhỏ về nguồn mở mà tích hợp các công cụ phươngtiện xã hội, nói: “Tôi nhận thức được rằng mộtsố nhà cung cấp đã và đang sử dụng a ninh như một đònbẩy cho sự sợ hãi, không chắc chắn và nghi ngờ –FUD” chống lại một số phần của chính phủ - các vănphòng quận và thị trấn địa phương, dạng đặt điềunhư vậy - dọa dẫm họ không đi với nguồn mở. Điềunày là quá tồi tệ mà CESG đã phải đứng dậy vào nămngoái và gọi nó ra như là FUD.

Một số lúng túng đãtới từ sự khác biệt giữa sự tin cậy và chứng chỉ.Các quan chức về rủi ro của chính phủ phải làm chongười ta tin vào các hệ thống tổ chức của họ. Nhữngđánh giá của họ sẽ két hợp một rủi ro xuất phát từviệc liệu các thành phần phần mềm của họ có đượccấp chứng chỉ CESG hay không.

CESG được hiểu sẽlà sắc sảo để có được các gói PMNM được phê chuẩntrong những gì nó cho rằng cách thức đó là phù hợp,với một nhà đỡ đầu công nghiệp. Nhà cung cấp vôdanh đó đã trở thành đầu tiên cầm cây gậy đã làmthế với tiền của riêng mình - nó đã không gây quỹcộng đồng.

Một chứng chỉ CPAmức khởi điểm, bao trùm hầu hết nghiệp vụ của chínhphủ ở mức IL2 tới IL3 thấp, có thể có giá 25.000 £,với hầu hết sự trả tiền đó cho thời gian phòng thínghiệm CESG bỏ ra thử nghiệm phần mềm. Một CPA nângcao, tới IL3/4 cáo thể có giá 60.000 £.

Gerry Gavigan, chủ tịchcủa Nhóm Nguồn mở, nói: “Nếu điềunày là về sự khuyến khích nền kinh tế, thì chính phủnên đầu tư tiền cho nó. Nếu chính phủ muốn một cộngđồng số vững mạnh, một cộng đồng PMNM vững mạnh,thì chính phủ có thể loại bỏ một số rào cản. Chiphí chững chỉ CESG là một ví dụ đầu tiên của mộtsự thất bại của thị trường. Chính phủ nên đặttiền vào để làm cho nó đúng”.

VMwarevà Bộ Doanh nghiệp, Đổi mới và các Kỹ năng đã khôngsẵn sàng để bình luận.

UKsecurity services have begun bridging the gap that has stopped opensource software getting security clearance for use in governmentsystems.

Theinitiative has come too late to stop the first big contract winsdelivered under the government'sflagship G-Cloud procurement vehicle going to a supplier thatshunned open source products because they did not have securityaccreditation.

Opensource suppliers meanwhile insist the certification block has notdisallowed their software f-rom government systems – but it hasallowed proprietary suppliers to raise doubts over open sourcesecurity. 

CESG,the IT security arm of Government Communications Headquarters (GCHQ),has begun working with an unnamed small UK business which has agreedto sponsor an open source virtual private network (VPN) systemthrough its strenuous security clearances.

Thesmall firm is the first open source supplier to break theimpasse that has stopped open source software getting CESG securityclearance.

CESGcertification comes at a cost

Theopen source community thrives on collaboration to solve technicalproblems. But its commercial fragmentation and dominance by smallsuppliers has cre-ated an environment whe-re individual companies havenot been willing to risk investing in CESG certification, only forlarger companies with better public sector exposure to reap thebenefits.

Thegovernment's solution was to ask large suppliers to sponsor opensource software through the security clearance process. But largesuppliers have been slow to put their weight behind open source.

ComputerWeekly understands CESG has instead begun working with the Departmentfor Business, Innovation and Skills to recruit open source suppliersby convincing them there is a business case in putting up thenecessary cash. They are formulating a way to assist the sponsoringfirm's entry into the £16bn public sector IT market.

PhilipDawson, CEO of Skyscape, a hosting supplier that secured two largeG-Cloud contracts, said it dismissed open source software whenbuilding its datacentre platform because of the uncertainty oversecurity status.

Skyscapebuilt its service on software supplied by virtualisation giantVMware, with which it formed a commercial alliance.

"I'ma great advocate of open source technologies – to a point,"said Dawson. "Then the point is who takes it on and gets itaccredited and invests in it, and who gets the benefit f-rom it?VMware vSphere 4.1 is the only hypervisor that has been accredited byCESG. It was a factor in our decision on who we partnered with. Youhave to get really into the guts of it to understand how it works toget it accredited. And that's what VMware has invested in doing withCESG."

ComputerWeekly understands, however, that VMware has not yet gained a fullsecurity certification, called the CESGCommercial Product Assurance (CPA), for its hypervisor software.It has worked extensively with CESG and is striving forcertification, but it has got only as far as a classified list ofsoftware CESG says can be used by government, but has not passed thestringent tests of a formal certification.

CESGis thought to be working with other hypervisor suppliers, but is notevaluating any open source al-ternatives. No hypervisors have achievedcertification, however, because the agency has been evaluating thesecurity parameters of the technology generically. VMware has helpedto do this. Since the formal test procedure has been in development,CESG has approached it as a risk management issue.

KateCraig-Wood, managing director of Memset, another G-Cloud hostingsupplier, said VMware had made a "claim to fame" that ithad CESG certification, but it was superfluous.

Memsetuses the open source Xen hypervisor. It attained a cross-governmentCESG accreditation for its service, incorporating the open sourcehypervisor, even though Xen itself was not certified. Memset'saccreditation included "aggressive" penetration tests ofthe hypervisor to security Impact Level 3 (IL3), the standard forrestricted government communications.

Craig-Woodsaid she had, as technical co-lead of the G-Cloud programme pilots,established the principle that any virtualisation software could beused to put multiple government servers on the same machine,regardless of the software's security certification, as long as thedifferent servers were themselves all the same security level.

"Ibelieve that still stands," she said. "People are hung upon virtualisation. People make a big issue out of VMware versus Xen.But it's not a big issue. You need to have a separate infrastructurestack on IL3 stuff anyway, because it can't be connected to thepublic internet. It's connected to the Public Sector Network. It'spossible to use Xen in that setting. If some people still have anissue we just provision a private cloud."

Managingthe risks of open source

ACESG spokeswoman said: "CESG's approach to accrediting G-Cloudservices does not rely solely on the use of products which have beenformally evaluated. Instead, the approach requires providers todemonstrate how they are managing the risks. It does not preclude theuse of open source software."

Theopen source certification confusion has nevertheless stopped publicsector bodies buying open source software, and allowed proprietarysoftware suppliers to convince customers open source is not safe, asComputacenterdid in Bristol last year.  

Thegovernment's solution last year was to senda delegation to Bristol explaining that itsdecision on whether to use an open source email system was amatter for its own risk officer. But risk officers have still beenuncertain about uncertified open source software.

Thegovernment asked large suppliers to sponsor open source softwarethrough the security clearance, but they have been reluctant tocooperate, even though they incorporate open source elements in bothbespoke and generic systems that must themselves get a risk officer'saccreditation under CESG guidance.

AlecMuffett, security consultant to Surevine, a small open sourcesupplier that integrates social media tools, said: "I am awarethat some suppliers have been using security as a FUD [fear,uncertainty and doubt] lever against some parts of government –local county and district offices, that sort of thing – to scarethem into not going open source. This got so bad that CESG got up onstage last year and called it out as FUD."

Someof the confusion has come f-rom the difference between accreditationand certification. Government risk officers must accredit theirorganisation's systems. Their assessments will incorporate a riskderived f-rom whether its software components are CESG-certified ornot.

CESGis understood to be keen to get open source software packagesapproved in what it deems the proper manner, with an industrysponsor. The unnamed supplier that has become the first to take upthe baton has done so with its own cash – it did not raisecommunity funding.

Afoundation-level CPA certification, which covers most governmentbusiness at IL2 to low-IL3, can cost around £25,000, with most ofthat paying for the time CESG's laboratory spends testing thesoftware. An augmented CPA, to IL3/4 can cost another £60,000.

GerryGavigan, chairman of the Open Source Consortium, said: "If thisis about stimulation of the economy, government should be funding it.If the government wanted a vibrant digital community, a vibrant opensource software community, it could remove some of the stumblingblocks. The cost of CESG certification is a prime example of a marketfailure. Government should put up the funding to correct it.

VMwareand the Department for Business, Innovation and Skills wereunavailable for comment.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com