אחסון מאובטח של נתונים מבטיח אספקה של נתונים, שחיוניותם גבוהה לביצוע משימותיהם של אנשי צוות בתחום צבא וחלל–תעופה. כיום, המלחמה בשדה הקרב הפכה להיות מלחמה באמצעות מידע – עם סיביות ובייתים יותר מאשר עם כדורים שנורים. את היתרונות התחרותיים מקבלים לא רק מעצם היכולות הבלתי מוגבלות להתחברות למאגר הנתונים של האויב ולציתות למידע שבמאגר, אלא גם מהיכולת להגן ולשמור על הנתונים שלך מפני האויב. ועם זאת, במלחמת מידע מסוג זה, לעתים קרובות מאוד טקטיקות התקיפה עודן מסווגות ולעומתן גישות ההגנה על מידע משמשות נושא בדיונים ובוויכוחים רבים.
נתונים במצב מנוחה
ארגונים צבאיים וארגוני חלל-תעופה חייבים לאבטח את הנתונים שלהם במצבי העברה (DIT), כשהם משודרים או מועברים בתקשורת, ולאבטח את הנתונים שלהם במצב מנוחה (DAR), כשהם במצב מאוחסן. “הפתרון להגנה על נתונים מסווגים הוא נושא מורכב,” מודה שובאהאגאט גאנגופדהייאי [Shubhagat Gangopadhyay], מנהל פיתוח עסקי בחברת Curtiss Wright Controls השוכנת בניו-ברייטון, מינסוטה. “באופן כללי, קיימות למעשה שתי דרכים המשמשות לאבטחה של אחסון נתונים: האחת, על ידי סילוק הזיכרון מהסביבה הבלתי מאובטחת (אותה סביבה שבה הוא נמצא בשימוש) והעברתו אל מיקום מאובטח (כמו למשל למקום נעול), והשנייה על ידי הצפנת הנתונים באופן שבו הסיכון שבו הם נתונים הופך להיות אפסי עד שייעלם,” ממשיך גאנגופדהייאי. “במצבים שבהם ייתכן שיידרש ניהול של מאות התקני זיכרון – וכאן צריך לחשוב במונחים של פרישה טקטית של צבא ארה”ב – הטרחה הכרוכה באבטחה פיסית של כל פיסת נתונים מסווגים שנדרש להצפינם, הופכת להיות מסורבלת מבחינה לוגיסטית, ולכן גדל הסיכון שנתונים אלו יעמדו בסכנה.”
הצפנת נתונים במצב העברה (DIT) משמשת כבר מזה עשרות שנים, אך היישום של טכנולוגיית הצפנה עבור נתונים הנמצאים במצב מנוחה חדש יחסית, “והוא עלה על הפרק כתוצאה מהצטברות של הכמויות העצומות של נתוני מידע, שאותן אי-אפשר להשמיד או למחוק תוך פרק זמן סביר,” כך מוסיף תומס בוהמן [Thomas Bohman], מנהל מוצר בכיר בחברת Curtiss Wright Controls Electronic Systems שנמצאת בסנטה-קלריטה, קליפורניה.
“במהלך השנה שחלפה חווינו גידול משמעותי בדרישה למערכות צבאיות ותעופתיות שיכללו הצפנה של אחסון נתונים ויהיו גם בעלות מאפיינים של עמידות, מהירות גבוהה וקיבולת גבוהה,” מוסיף בוהמן. “בהיותם מוצפנים, יש צורך למחוק רק מפתח קטן ואת נתוני האימות על מנת להפוך את הנתונים לבלתי שמישים מבחינת האויב, במקרה שזה יצליח להניח את ידו על התקן אחסון נתונים.”
הסבר לגבי הצפנה
“הפיתוח של טכנולוגיה ומדיניות בצד קבלת אישורים מתאימים עבור הנתונים המסווגים של משרד ההגנה של ארה”ב (DOD) מנוהל על ידי סוכנות הביטחון הלאומית (NSA),” מסביר גאנגופדהייאי.
על פי מילון המונחים לאבטחת המידע הלאומי (CNSSI מספר 4009), סוכנות NSA מגדירה ומאשרת ארבע רמות של מצורים ומפתחות להצפנה: סוג 1, סוג 2, סוג 3 וסוג 4. במוצרי הצפנה לפי סוג 1 נכללים: “ציוד, מכלול או רכיב, אשר משמשים להצפנה בכתב סתרים, והם מסווגים או מאושרים על ידי סוכנות NSA להצפנה ולגילוי הצפנה של מידע ביטחון לאומי מסווג ורגיש, בתנאי שהוא מפותח בצורה נכונה; פותחו באמצעות התהליכים העסקיים של סוכנות NSA ומכילים אלגוריתמים המאושרים על ידי סוכנות NSA; משמשים להגנה על מערכות להן יש צורך במנגנוני ההגנה המחמירים ביותר.” העלות הכרוכה בהתקנים מוצפנים כאלו בפרישות בקנה מידה נרחב, מונעת את השימוש בהם,” מקונן גאנגופדהייאי. “בנוסף, תהליך האישור עלול להיות ארוך למדי, ולא פעם מביא למצב שבו הטכנולוגיה שעומדת בבסיס ההתקנים האלו הופכת להיות מיושנת ובלתי שמישה, עוד לפני השלמתו של האישור.” למעשה, אישור סוג 1 נחשב לתהליך קפדני ומחמיר, שבו מתבצעים בדיקה וניתוח רשמי של כמה חלקים – אבטחת הצפנה בכתב סתרים, אבטחה פונקציונלית, עמידות לחבלה, אבטחה של פליטה (EMSEC/TEMPEST), ואבטחה של תהליכי ייצור המוצרים ושל הפצתם.
פקידים רשמיים בסוכנות NSA מגדירים גם שתי סוויטות של אלגוריתמי אבטחה: סוויטה A וסוויטה B. הצפנה לפי סוויטה A, אשר משמשת למידע רגיש הקשור לביטחון הלאומי, ומתייחס “לקבוצה מסוימת של אלגוריתמים מסווגים להצפנה בכתב סתרים המשמשים להגנה על כמה קטגוריות של מידע מוגבל בעל חיוניות על לביצוע המשימה,” כך על פי מילון המונחים הלאומי לאבטחת מידע. סוויטה B, הישימה לרוב הנתונים וההתקנים, היא זו המתייחסת ל”אלגוריתמים מסוימים המשמשים להצפנה בכתב סתרים ואשר מתאימים להגנה על מערכות ועל מידע מסווגים ושאינם מסווגים, אשר שייכים לביטחון הלאומי ומשמשים ברחבי הממשל של ארה”ב ותומכים ביכולת תפעול ביניים עם בני ברית ועם שותפי קואליציה.”
קווי הנחיה, נוהלי אבטחה ואישורים קפדניים אלו ואחרים נוספים שמסייעים באבטחת נתונים ומידע צבאיים, מאוחסנים למעשה בכל רמות הסיווג. עם זאת, השימוש הגובר והולך של התקנים ומערכות מסחריים מהמדף (COTS) ביישומים צבאיים-תעופתיים מכביד על האתגר של אחסון הנתונים.
הבעיה הכרוכה בשימוש במערכות COTS
בעידודם של פקידי משרד ההגנה של ארה”ב, ארגונים צבאיים מאמצים במידה מתפתחת ומתרחבת את השימוש בפתרונות COTS – לרבות מחשבי לוח (tablet), דוחפי USB ונגני MP3 ניידים עם כוננים קשיחים – ביישומים ובסביבות צבאיים-תעופתיים. האימוץ הגובר של מערכות COTS מניע את הצורך בגישה מחולקת לשכבות לאבטחת מידע מאוחסן.
“במדיניות הרווחת כיום, של צמצום כספי הציבור, שלפיה נוהג משרד ההגנה של ארה”ב, ועבור אותם התקנים שבהם חווה הטכנולוגיה שינוי טכנולוגי מהיר, כמו למשל זיכרון מצב-מוצק, אנו מבחינים במגמה שמתפתחת לכיוון השימוש בפתרונות מסחריים עבור נתונים טקטיים מסווגים,” כך טוען גאנגופדהייאי, “בייחוד אם הנתונים מתיישנים תוך פרק זמן קצר באופן יחסי וטכנולוגיית ההצפנה מבוססת על הצפנה לפי סוויטה B. באמצעות שימוש בגישה של חלוקה לשכבות בתחום אבטחת הזיכרון, אפשר להשתמש בטכנולוגיות אלו עבור נתונים המגיעים עד לסיווג סודי”.
בעולם המסחרי פותחו כמה שיטות זמינות שמסוגלות לעמוד בדרישות אבטחת הנתונים,” מתאר גאנגופדהייאי. לדוגמה, Seagate Technology מ-Cupertino בקליפורניה מציעה כמה קווי ייצור של יחידות כונן קשיח בעל יכולת הצפנה עצמית.
“המגמה הכללית הרווחת היא לראות בטכניקות שמבוססות על טכנולוגיה מסחרית “טכניקות טובות מספיק” עבור צורכי אבטחה בהיקפים רחבים וברמה נמוכה יותר,” כך מסביר גאנגופדהייאי. “עבור יישומים הנמצאים במטוסים או בחלליות, במקומות שבהם על הנתונים קיים איום של נפילה אל שטחי אויב או שהנתונים בעלי ערך גבוה, יש צורך להשתמש בטכניקות קשיחות יותר. לכן, מתפתחת מגמה של פיצול אבטחת אחסון הנתונים לשני תחומים. הרמה הנמוכה, המבוססת על פתרונות מסחריים אבל עם שיפורים נוספים מסוימים, והרמה הגבוהה.
“הפתרון ברמה “הטובה מספיק” עבור אבטחת נתונים מסווגים מהווה אתגר מעניין,” מודה בפנינו גאנגופדהייאי. “ברוב המקרים, החלק הכרוך בהצפנה אינו בעייתי, בהינתן העובדה שרוב הפתרונות המסחריים משתמשים בבקר SATA שבו מובנה תקן AES 256, שהוא תקן הצפנה מתקדם (AES) ב- 256 סיביות,” הוא אומר. “המלאכה האמיתית כרוכה בהבנת היבט ניהול המפתחות של הפריסה, לרבות אימות ושחזור מפתח, תכונות שלא תמיד אפשר למצוא בפתרון המסחרי. החלק האחר הוא להכניס שכבה אחת נוספת או כמה שכבות נוספות של אבטחה, מעבר למה שנמצא זמין באופן מסחרי, ובכך להפוך את הפתרון למתאים עבור נתונים המגיעים עד לסיווג ברמה סודית.”
פתרון אתגרי אבטחה
השימוש הרווח בהתקנים מסחריים מן המדף (COTS) עם יכולת אחסון מידע ביישומים ובסביבות מתחום הצבא והתעופה, עורר את הצורך בשיקולי אבטחה ובאמצעי אבטחה מתקדמים. כתגובה לצורך זה, השיקו גורמים רשמיים שמשרתים בסוכנות הביטחון הלאומי (NSA) ובשירות הביטחון הראשי (CSS) את המרכז לפתרונות מסחריים של NSA/CSS – הנקרא NCSC. המרכז NCSC נועד לענות על “הצרכים האסטרטגיים של NSA/CSS ושל קהיליית הביטחון הלאומית, ולשם כך לרתום לעזרתם את היכולות של הטכנולוגיה המסחרית האמריקנית,” אמר נציג שלהם.
בה בעת, גורמים רשמיים בחטיבה לאבטחת מחשבים של המכון הלאומי לתקינה ולטכנולוגיה (NIST) ניהלו את אישור הפתרונות עבור אבטחתם של נתונים רגישים פחות, דרך תהליך אישור של תקנים רשמיים לעיבוד מידע (FIPS),” מוסיף גאנגופדהייאי.
ארבע תוכניות עיקריות של משרד ההגנה ושל משרד התעופה-חלל אימצו מוצרים של נתונים במצב מנוחה מחברת Curtiss-Wright Controls Electronic Systems. בהם אפשר למצוא את מודול אחסון זיכרון הבזק – 3U VPX – של החברה, ואת שרת הקבצים המוקשח המיועד לאחסון רשתות קומפקטיות (CNS) – half-ATR -עבור יישומי DAR בכלי טיס ובכלי רכב קרקעיים. “הגורם הקריטי בתוכניות אלו הייתה טכנולוגיית ההצפנה המאושרת NIST FIPS 140-2,” כך מסביר בוהמן.
“התקנים כמו מחשבי לוח ומחשבים בפריסה טקטית בכלי רכב של הצבא – שמספרם עצום – יכולים להשתמש בטכניקות [FIPS]. אך עם זאת, לצורך טיפול בנתונים בסיווגים שמעבר ל”סודי”, או בנתונים שצריכים להיות סודיים למשך זמן רב יותר, יהיה צורך להשתמש בשיטות מסורתיות יותר מסוג 1.”
יישומים מוטסים
אנשי הצוות של Lockheed Martin Aeronautics, שנמצאת במרייאטה שבג’ורג’יה, בחרו במערכות המשנה לאחסון רשתות קומפקטיות CNS Vortex מבית היוצר של Curtiss-Wright Controls עבור תוכנית מטוס התובלה C-130J Super Hercules. ההזמנה הראשונה שהוגשה בחודש שעבר מוערכת ב- 800,000 דולר, עם חוזה לכל החיים בערך של 7.5 מיליון דולר בערך.
מערכת רשת CNS מסוג Vortex של Curtiss-Wright תשרת כשרת קבצים לרשת בחיל האוויר של ארה”ב, במטוס למשימות מיוחדות MC-130J של פיקוד קרבות האוויר של חיל האוויר של ארה”ב, וכן בכלי הטייס להצלה והשבה של אנשי צוותים HC-130J של פיקוד המשימות המיוחדות של חיל האוויר של ארה”ב. מטוס התובלה החדש לטווחים ארוכים HC/MC-130 Super Hercules מתוכנן למשימות מיוחדות, לרבות חיפוש והצלה (SAR) וחיפוש והצלה בתנאי קרב (CSAR).
מערכת הרשת CNS מסוג Vortex, המוקשחת ומקוררת בהולכה ומחוברת להתקני אחסון, מאפשרת שיתוף של נתונים בעלי חשיבות-על דרך הרשת הפנימית של המטוסים. הפתרון, אשר תוכנן לשפר את שיתוף הקבצים בפלטפורמות צבאיות הפרושות בסביבות שבהן שוררים תנאים קשים, מאחסן נתונים באופן מאובטח בזיכרון מצב מוצק המוצפן עם האלגוריתם AES-256.
אנשי הצוות בחברת Curtiss Wright Controls Electronic Systems מתכננים את מערכת רשת CNS בדייטון שבאוהיו, ומייצרים את מערכות המשנה בליטלטון שבמסצ’וסטס.
הוצאות בבעיה
“בתנאים של קיצוץ בתקציב הביטחון שקיימים כיום, אנו מבחינים במגמה הנוטה להורדת דרישות האבטחה,” אומר גאנגופדהייאי. “נראה שמצב זה זמני, ולטווח הארוך מתקיים תהליך פיתוח של פתרונות ‘טובים מספיק’, כל התקן אחסון נתונים – גם אם הוא התקן של נתונים מסווגים שאינם רגישים – יאובטח באמצעות הצפנה,” ממשיך גאנגופדהייאי. “כבר כיום הכוננים הקשיחים במחשבים הניידים של אנשי סגל המועסקים על פי חוזה בצבא ובמשרד ההגנה האמריקני, וכן בכמה חברות מסחריות, מוצפנים בתוכנה על מנת להגן על נתונים רגישים,” הוא מוסיף.
מאחר שטכנולוגיית ההצפנה מיושמת באופן נרחב על בעיות הכרוכות בהגנה על נתונים במצב מנוחה, ניתן לצפות שיופיעו מוצרים חדשים, טובים יותר ומהירים יותר,” כך על פי תחזיתו של בוהמן. “חשוב באותה מידה, אנשים בשוק יהפכו להיות מנוסים יותר בכל הנושאים הקשורים, ולכן, הם יקבלו החלטות טובות יותר בכל הקשור למאפייני ההצפנה בכתב סתרים, הנדרשת על מנת להגן על מידע רגיש מפני העמדתו בסכנה, אך עם זאת בלי להפריע לביצוע המשימה.”
מחשוב ענן
“כאשר הארגונים הצבאיים נתונים בלחץ קיצוני שבו נדרש מהם לבצע יותר באמצעים פחותים, אחסון מאובטח של נתונים במחשוב ענן הופך להיות פופולרי יותר ויותר,” צופה פט סטונברג [Pete Stoneberg], פקיד המידע הראשי הממונה במחלקת ענן הממשלה, של חברת RightNow Technologies, שנמצאת בבוצמן, מונטנה. (חברת Oracle מסנטה קלרה שבקליפורניה צפויה להשלים את הרכישה של RightNow Technologies בתחילת שנת 2012.)
“לא רק שמערכות לניהול ידע מבוססות ענן מקטינות את העלויות של משרד ההגנה האמריקני בזמנים שבהם אנשי המשרד חווים קיצוצי תקציב חמורים, הן גם מבטיחות שהמידע יהיה עקבי, שזמן הפעילות והזמינות של המערכות יהיו מורחבים, והן מאפשרות זמנים קצרים יותר לצורך המימוש עם יכולת שדרוג יוצאת מגדר הרגיל,” מוסיף סטונברג. “עבור ארגונים צבאיים, העמידה בדרישות האבטחה ובתקני האישורים חיונית לאספקה של פתרונות מידע שמישים.”
יכולות האירוח מן-המוכן עבור מערכות הגנה של חברת RightNow תואמות לדרישות משרד ההגנה האמריקני ומאפשרות למשרד ההגנה לזכות ביתרונות הגלומים בחיסכון בעלויות שנגזר משימוש בענן מאובטח. מחלקת ענן הממשלה המאובטח של חברת RightNow Technologies משתמשת בתהליך האישור לאבטחת טכנולוגיית המידע של משרד ההגנה של ארה”ב ובתהליך האישור לביטחון המידע של משרד ההגנה על מנת להבטיח את העמידה בהוראה 8500.2 של המשרד, היא תואמת לחוק הפדרלי לניהול אבטחת המידע (FISMA) המסומן NIST 800-53 לפי תקן האבטחה הפדרלי של ארה”ב, והיא כוללת צוות ייעודי לאבטחת ולביטחון המידע הפועל בכל שעות היממה.
המנהלים של מרכז הסגל בחיל האוויר האמריקאי (AFPC) חיפשו דרך לשיפור יכולת הגישה והעקביות, ובמקביל גם לשמור על אבטחת המידע של אנשי הסגל בחיל האוויר. הם גילו שהפתרון המתאים להם מצוי בחברת RightNow Technologies. פקידי מרכז AFPC החליטו להשתמש ברכיבים מרובים של סוויטת CX של חברת RightNow ולהמיר את המימוש מפתרון הממוקם באתר למודל של תוכנה כשירות (SaaS) הנתונה באירוח באמצעות הענן המאובטח של משרד ההגנה של ארה”ב בחברת RightNow.
ארגונים צבאיים יכולים לבצע היוון באמצעות פתרון הענן הפרטי של מרכז המחשוב לארגוני הגנה (DECC) של סוכנות מערכות המידע להגנה (DISA), אמר סטונברג. מרכז DECC מאפשר לארגוני הגנה ולקבלני משנה לשדרג באופן מאובטח לפתרונות תוכנה כשירות (SaaS).
“עבור יותר מ-1.5 מיליון אנשי סגל צבא בשירות פעיל המשרתים מעבר לים ומגנים על האומה שלנו, זהו תפקיד עם פעילות של 24 שעות ביממה שבעה ימים בשבוע. על מנת לשרת את הלקוחות האלה, על משרד ההגנה של ארה”ב לממש באופן רחב מרכז קשרים בריבוי ערוצים ופתרונות של שירות עצמי ברשת, אשר יאפשרו ללוחמים ולמשפחות שלהם לקבל גישה מיידית למידע מדויק בכל רגע משעות היממה ומכל מקום בעולם,” מסביר סטונברג. “אנחנו צופים שפתרונות תוכנה מאובטחים יהפכו לשכיחים יותר בארגוני ממשל פדרלי ובה במידה בסוכנויות צבאיות.”
CX של RightNow החליפה את מערכות הידע הקודמות של מרכז AFPC, מערכות שהוגדרו ישנות, מיושנות ומשולבות באופן גרוע. העדיפות הראשונית של צוות מבצעי CRM של מרכז AFPC הייתה ליצור סביבת רשת WEB מאובטחת עם ממשק ידידותי למשתמש. צמצומי צוותים משמעותיים שנערכו לאחרונה הניעו אף הם את הצורך במערכת יעילה יותר.
“בהינתן החוסר בשטח באנשי סגל פונקציונליים הנגזר מהצמצומים שבוצעו לאחרונה, היה עלינו להפוך ולהיות יעילים יותר, והפתרון ברשת הפך מהר מאוד להיות רכיב בעל חשיבות עליונה באסטרטגיה שלנו.” אומרת סרן מישל ריצ’רדס [Michelle Richards], מפקדת מבצעי ניהול יחסי לקוחות במרכז AFPC.
באמצעות המערכת RightNow CX של חברת RightNow Technologies, הצליח מרכז AFPC לקצר את הזמן הממוצע הנדרש לשאילתת לקוח, מ-20 דקות לשתי דקות, וזאת בד בבד עם הגדלת השימוש בבסיס הידע מבוסס רשת Web מ-180 אלף ל-2 מיליון פגיעות (hit) בשבוע. הפיכת המערכת למודרנית מאפשרת לאנשי סגל של חיל האוויר להקדיש לביצוע משימותיהם זמן רב יותר, במקום להשקיע זמן בחיפוש אחר נתונים של אנשי סגל או ביצוע פעולות עימם באופן אישי.
אבטחה ללא הקרבה
לאיכות הביצועים יש חשיבות עליונה כאשר הדבר נוגע ליישומים צבאיים וליישומי חלל-תעופה, ואבטחתם חשובה באותה מידה. לאנשי סגל, ליישומים ולתקציבים בתחומי הצבא והאוויר נדרשים באופן סוחף מערכות עמידות, כאלו אשר עומדות במגבלות חמורות של גודל, משקל, צריכת הספק ועלות (SWaP-C). רוברט דיי [Robert Day], סגן נשיא לשיווק בחברת LynuxWorks מסנטה-ברברה שבקליפורניה, צופה את הופעתם של “מיזוגים רבים יותר, דרישות אבטחה רבות יותר, התקנים ניידים רבים יותר ומערכות רב תכליתיות רבות יותר, שכולם משתמשים בפתרונות חומרה ותוכנה סטנדרטיות יותר, על מנת להפחית את העלויות ולהרחיב את הביצועים”. דיי ועמיתיו בחברת LynuxWorks מציעים את LynxSecure, גרעין (kernel) ההפרדה המשובץ ומנהל על (hypervisor) סוג 1 של החברה, על מנת לאפשר את קיומן של מערכות הדור הבא האלו, בלי להתפשר על הביצועים או על האבטחה.
“ניצול היתרונות של החומרה המודרנית בעלת ריבוי הליבות עם וירטואליזציה מאובטחת כדוגמת LynxSecure, מאפשר לבצע את המיזוג של מערכות טקטיות, ממערכות פיסיות מרובות לריבוי של מערכות וירטואליות מאובטחות,” הסביר דיי. יש בכך חיסכון בגודל, במשקל ובצריכת ההספק עבור מערכות בפרישה, וזאת מבלי לסכן את האבטחה, ואכן, גם כך מתאפשרת פרישה מחדש של מערכות תוכנה מורשות מרובות בפלטפורמות חומרה חדשות, ושוב, מבלי לסכן את האבטחה,” הוא אמר.
דיי היה נוכח כעד כשעלתה הדרישה להשתמש בחומרה ובמערכות הפעלה “סטנדרטיות” במערכות לפרישה טקטית בשדה הקרב, כמו למשל בטלפונים חכמים מבוססי Android של Google ובמערכות מבוססות Windows של Microsoft או מבוססות Linux במערכות מחשבים ניידים או שולחניים סטנדרטיים. “אפשר להשתמש בפתרונות המסחריים האלו של חומרה ותוכנה בעזרת השימוש בווירטואליזציה מאובטחת, אם כי בעזרת הגנה על נתונים ויישומים רגישים, מאחר שאפשר להפריד אותה זה מזה,” הוא אמר. מיזוגים ושימוש בהתקנים מהמדף (COTS), כמו גם התרחבות השימוש בהצפנה על מנת להגן על נתונים המאוחסנים במחשבים ניידים, נחשבים כולם למגמות שהופיעו לאחרונה ואשר מבקשות “אבטחה נוספת מבלי להתפשר על הביצועים או על השימושיות של המערכות”, מאשר דיי. “האתגרים הגלומים באחסון מאובטח של מידע קשורים באופן אופייני למערכות מורשות ולשימוש במערכות מסחריות ואפשר לעמוד באירוח של נתונים ואנשי סגל שיש להם רמות שונות של אבטחה ואישורים במערכת אחת, על ידי שימוש בווירטואליזציית תוכנה מאובטחת בעלת ביצועים גבוהים בשילוב עם חומרה מודרנית בעלת ליבות מרובות,” הוא ממשיך. מהנדסים מחברת LynixWorks ומחברת Wave Systems, אשר נמצאים בלי שבמסצ’וסטס, משתפים פעולה בתחום השימוש בכוננים בעלי יכולת הצפנה עצמית (SED) עם גרעין ההפרדה ומנהל העל LynxSecure עבור הפעלה בו זמנית של מערכות הפעלה מרובות ביחידת קצה אחת. הפתרון מקשר רצועות דיסק בדידות מוצפנות אל תחומים וירטואליים שונים מאובטחים אשר מסופקים על ידי LynxSecure הפועלת בהתקן יחיד.
מערכות ניידות ומטלטלות
השימוש ביחידות קצה ניידות ומטלטלות מגדיל את הסיכון לאבטחת הנתונים, ועם זאת, השימוש המשולב בכונני SED ובווירטואליזציה מאובטחת ביחידות הקצה מציע הגנה, כך על פי הנציגים של LynuxWorks. “בהתחשב בעובדה שההצפנה מובנית בתוך הכוננים עם ההצפנה העצמית (SED), הם מהווים אפשרות הגנה על נתונים בעת שימוש בווירטואלזיציה ביחידת קצה טובה יותר מאשר האפשרות של הצפנה מסורתית בתוכנה. כונני SED עם ריבוי רצועות מתאפיינים ברצועות נפרדות בתוך הדיסק, כלשכל רצועה יש הצפנה בנפרד, כך אפשר להשתמש בהם לאחסון נתונים עם רמות שונות של אבטחה או של רגישות במערכת אחת.”
בה בעת, התקן יחידת קצה המחובר לווירטואליזציה מאובטחת מאפשר יצירה של מחשבים וירטואליים מרובים על מחשב פיסי יחיד, ובכך מתאפשרת הפעלה בו זמנית של מערכות הפעלה שונות ויישומים שונים. גרעין ההפרדה ומנהל העל המאובטח LynxSecure שומר כל מחשב וירטואלי במחיצה (partition) מאובטחת משל עצמו, ולמעשה מפצל התקן של יחידת קצה לריבוי של מערכות מאובטחות.
“כל ערכה של מערכת הפעלה ויישום מוחזקת במחיצה המאובטחת העצמית שלה והנתונים עבור כל אחת מהן מוגנים באמצעות רצועות כונן מוצפנות עם מפתחות הצפנה שונים לכל מחיצה,” אמר דיי. “כך נוצרת מערכת הכוללת משתמשים מרובים באמת, ורמות אבטחה מרובות באמת, המאוחסנת ביחידת קצה בתקן תעשייתי.”
“טכנולוגיית גרעין ההפרדה היא אחת מאבני הבניין הבסיסיות המשמשות את התעשיות הצבאיות לצורך הפעלה של רמות אבטחה שונות במערכת יחידה,” הוסיף נציג החברה. “וירטואליזציה מאובטחת יכולה להפריד באופן יעיל את הסביבות המורשות שאינן מאובטחות מיישומים ונתונים רגישים אשר נתונים באותה יחידת קצה.
“שיתוף הפעולה בינינו לבין LynuxSecure וגרעין ההפרדה ומנהל העל LynxSecure מסייעים ביצירה של רמות חדשות של הגנה עבור נתונים רגישים השמורים בהתקנים של יחידות קצה מיטלטלות,” אמר רוברט תיבאדו [Robert Thibadeau], המדען הראשי וסגן נשיא בכיר בחברת Wave.
לא סביר שצורכי אחסון המידע המאובטח של ארגוני הגנה וחלל-תעופה ושל משתמשי קצה יירגעו עם חלוף הזמן. סביר יותר שמומחים בתחומי הצבא והתעופה ידרשו, ככל הנראה, גישה נרחבת יותר לכמויות גדולות יותר של נתונים בקצב מהיר יותר, כאלו אשר נמצאים במערכות עמידות יותר וקומפקטיות יותר. למרבה המזל, מהנדסים ומנהלים בחברות טכנולוגיות בתחום הצבא והתעופה עובדים קשה מאוד על מנת לספק את הצרכים והדרישות הצפויים.
הכתבה באדיבות אתר
מאת: Courtney Howard, M&A
http://www.militaryaerospace.com/index.html
