מאת: פול פרקינסון, ווינד ריבר.
העולם כולו כבר מכיר באיומי סייבר כנגד מטרות אזרחיות ומערכות הגנה כאחד. מדינות רבות גבשו בשנים האחרונות מדיניות הגנת סייבר לאומית לרבות הגנה על תשתיות לאומיות. על מנת לייצר מערכות הגנה עם ביצועים חזקים, וודאות גבוהה להגנה על תשתיות לאומיות קריטיות, יש צורך במערכות טכנולוגיות מאובטחות ביותר, בארכיטקטורת (Multiple Independent Levels of Security) הפועלות במסגרת מעבד מרובה-ליבות.
הופעתה של ארכיטקטורת ה-MILS
ארגונים מסחריים וממשלות נוהגות לסווג מידע על פי רמות אבטחה שונות, כאשר הן מתתבססות על מאפיינים, כגון: ערך המידע, רגישותו וההשפעה של חשיפתו. באופן היסטורי, מידע המשתייך לרמות אבטחה שונות, נשמר באזורים פיזיים שונים – בתחילה במערכות ידניות, ולאחר מכן במערכות הממוחשבות.
ארכיטקטורה של רמות אבטחת עצמאיות (MILS) נוצרה לפני שנים רבות כגישה חלופית עבור מערכות משובצות מחשב. MILS משתמשת בארכיטקטורה של שכבות תוכנה עם הפרדת ליבה (SK), הבנויה על ארבע יסודות מדיניות אבטחת המידע:
1. בידוד מידע, המבטיח כי אי אפשר לגשת ממחיצה אחת למשאבים במחיצות אחרות.
2. עיבוד מתוזמן, מבטיח כי אפליקציות בתוך מחיצה אינן יכולות לצרוך יותר מה- CPU המוקצה להן.
3. זרימת נתונים, מגדירה את זרימת המידע המותרת בין מחיצות.
4. בידוד כשלים, מגדיר כי כשל במחיצה אחת אינו משפיע על אף מחיצה אחרת במערכת.
ארבע יסודות אלה יצרו ארכיטקטורה בה בלתי אפשרי לעקוף את הליבה המופרדת, היא ניתנת לבקרה, תמיד זמינה ועמידה בפני שינויים. ליבה מופרדת וגישת השכבות, מאפשרת שימוש בקוד קצר יותר, תהליכי בדיקות מקוצרים ובסכך הכל קיצור ניכר בזמני תהליך ההערכה ועלותו. יש לכך ערך רב כאשר מפתחים תשתית לאומית כוללת שצריכה לעבור מבחני אבטחה ואמינות שיוכיחו עמידות גבוה.
בהטמעה של מערכות MILS על גבי מעבד עם ליבה אחת מנצלים את יכולות החומרה של המעבד כדי לאכוף את ארבעת יסודות האבטחה, וגם כדי למזער ערוצי תקשרות נסתרים ובלתי רצויים בין אפליקציות. זהו שיקול חשוב עבור מערכות ברמת וודאות גבוהה, מאחר וערוצים חשאיים יכולים לשמש במסגרת התקפות מתוחכמות על נכסים לאומיים חיוניים. בכל מקרה, ארכיטקטורת חד-ליבה נמצאת בשימוש במשך שנים רבות, ודרך הפעולה של ערוצים חשאיים מובנת כיום היטב. המשמעות היא שבארכיטקטורות חד-ליבה מסוימות אפשרי להשתמש באמצעי נגד מתאימים בהטמעת ה-MILS כדי להפחית את צריכת רוחב הפס שלהם.
הופעת המעבדים
מרובי-הליבה
במשך מספר עשורים, שיפורים בביצועי המעבדים הושגו באמצעות האצת תדר שעון המעבד. גישה זו בסופו של דבר הגיעה למגבלות הכדאיות בגלל עליה דרמטית בצריכת החשמל, כך שחברות שבבים פנו להתמקד בפיתוח מעבדים מרובי ליבה שישיגו גם הם עליה בביצועים אך בד בבד, גם הפחתה בצריכת החשמל. האילוץ של מעבדים מרובי-ליבה הוא הצורך באפליקציות ומערכות להיות מתוכננות מראש בהתאמה לריבוי ליבות, על מנת לנצל ביעילות אל הביצועים הזמינים.
מעבדים מרובי-ליבה גם מהווים אתגר חדש לאבטחה בהקשר של בידוד אפליקציות והפרדת ליבות, מכיוון שכאן אפליקציות באמת יכולות לפעול במקביל (במקום לפעול ברצף על מעבד חד-ליבה). המחקר בתחומים אלה, בשנים האחרונות, מתבצע תחת הכובע של מערכות בטיחות חיוניות, ולמרות שהיעדים הסופיים של אימות בטיחות ושל אבטחה בוודאות גבוהה, הם שונים, יש עדיין חפיפה בדרישות. מחקר שבוצע על ידי מנהל התעופה האמריקאי הציף נושאים הקשורים לתאימות של אריכטקטורה מרובת-ליבות ליישומי תעופה הדורשים בטיחות מעל לכל, בגלל השימוש במשאבים משותפים. בעיה זו יכולה להשפיע על אפליקציות עם בטיחות קריטית מבחינת קיומם של ערוצים חשאיים. אך מחקרים גם חושפים כי חלק מהתכנון של מעבדים מרובי-ליבה מספק מאפייני חומרה שניתן לנצל כדי לאכוף בידוד אפליקציות והפרדת ליבות. התוצאה היא כי נדרשת בחינה זהירה כאשר בוחרים ארכיטקטורה מרובת ליבות עבור אפליקציות בעלות בטיחות ברמת וודאות גבוהה.
דרישות של מערכות חוצות-אזורים
תשתית לאומית חיונית כוללת מערכות המשמשות כשערי גישה בין רשתות, או דומיינים, או בין רמות אבטחה שונות. שערים אלה הם דוגמא של פתרון חוצה-דומיינים (CDS) שהוא בעל נחיצות גבוהה לקיום אבטחה ברמות שונות. שערי גישה אלה יכולים להיות מופעלים בטווח רחב של סביבות, לדוגמא בין רשתות ארגוניות והאינטרנט הציבורי, או בין רשתות ממשלתיות ובטחוניות ברמות אבטחה שונות. מערכות CDS אלו חייבות למנוע זרימה של נתונים בין אזורים, ולספק וודאות גבוהה כי הם יכולים לעמוד בהתקפות סייבר ולהגן על רשתות בטחוניות וממשלתיות נגד התקפות מתמשכות (APT).
בכל מקרה, השימוש הכללי והטופולוגיה זהים (ראה שרטוט 1): ה-CDS יחובר לשתי רשתות שונות, וצריך להפעיל אפליקציה המקבלת הודעות מרשת אחת ומעבירה אותם אל שומר, אשר קובע האם להפנות הלאה או לבטל את ההודעות, על פי הגדרות מדיניות אבטחה קבועות מראש, ובהתאם לתוכן ההודעה. הגדרות דומות עם שומר נפרד (וייתכן גם מדיניות אבטחה שונה) יכולות לפעול בכיוון ההפוך.
ניתן יהיה להטמיע מערכת CDS על גבי פלטפורמת MILS תוך שימוש במעבד חד-ליבה, תוך שימוש ב-4 מחיצות לפחות: שולח/מקבל לדומיין A, שומר לדומיין A, שולח/מקבל לדומיין B, שומר לדומיין B (שרטוט 2). אפליקציות אלה יכולות להיות מבודדות האחת מהשניה באמצעות הפרדת ליבות בארכיטקטורת MILS, ולהרשות זרימת נתונים בהתאם למדיניות האבטחה. במערכת טיפוסית, הדברים יורחבו באמצעות מחיצות נוספות שישמשו כחותמת מאשרת, ואשר יבצעו אתחול בטוח של החומרה ואימות כי לא נעשו שינויים בתכולת התוכנה. הם ישמשו גם להגדרת מערכת, שתאפשר הגדרות שמירה שונות, בהתבסס על מדיניות האבטחה וסביבת האיומים.
מערכת ה-CDS תוכל גם להיטמע באמצעות MILS על גבי מעבד מרובה-ליבות, אשר יכול לספק אפשרויות הגדרה מרובות, ויש לו פוטנציאל לביצועי מערכת גבוהים יותר בזכות היכולת להריץ אפליקציות במקביל על ליבות עיבוד נפרדות. אך עדיין, המערכת תצטרך להיות מתוכננת בזהירות כדי להבטיח כי הסיכוי לערוצי תקשורת חשאיים הוא מזערי. ניתן להשיג זאת באמצעות הקצאת אפליקציות לליבות שונות, ושימוש בסנכרון מתוזמן כדי להגביל את מספר רמות האבטחה או האזורים שיש לעבד במקביל. המשמעות היא שאם התקיים ניצול של ערוצים חשאיים, אז רק מידע הנמצא באותה רמת אבטחה או אזור – ייחשף.
גרסת ווינד ריבר לפלטפורמת MILS מרובת-הליבות
פלטפורמת VxWorks MILS של ווינד ריבר בגירסא מרובת-ליבות מספקת סביבת הפעלה בזמן אמת שתוכננה עבור מערכות הדורשות אבטחה חזקה, וודאות גבוהה וביצועים גבוהים. הפלטפורמה מטמיעה את ארכיטקטורת MILS, מאפשרת ריבוי של רכיבי תוכנה עם דרישות ביצועים גבוהים, ברמות אבטחה שונות או מאזורים נפרדים, כדי לחלוק בביטחון ובאופן מאובטח את אותה פלטפורמת חומרה המובססת על מעבד מרובה-ליבות.
פלטפורמת VxWorks MILS בגירסא מרובת-ליבות, תומכת במעבדים מרובי-ליבות ובמצב עבודה אסימטרי עם עיבוד מרובה (AMP). כל ליבה (ומשאבי החומרה הקשורים בה) מארחת הרצה עצמאית של VxWorks MILS, עם הפרדה של ליבות ואפליקציות הרצות במחיצות. הפלטפורמה כוללת מנגנונים המספקים תקשורת בין מחיצות הנמצאות בליבות שונות, עם שליטה בזרימת מידע באמצעות ליבות הפרדה של VxWorks MILS.
באמצעות חציצה בין ריבוי רכיבי תוכנה, עם הקצאת משאבי זמן ומרחב, שליטה בזרימת מידע, בידוד כשלים הנאכף בקפדנות – פלטפורמת ה-VxWorks MILS מאפשרת לאפליקציות אבטחת מידע חיוניות לשאת מידע חסוי או הכרחי למשימה, להתקיים במקביל על אותה המערכת עם אפליקציות בעלות רמת אבטחה בינונית או נמוכה, ולהתחבר לערוצים שאינם מאובטחים (כגון האינטרנט הציבורי). לכן פלטפורמת VxWorks MILS, בגרסה מרובת-הליבות, נועדה להוות בסיס למערכות
קריטיות מרובות מעבדים, כגון אלו המשמשות בתשתיות לאומיות חיוניות.
פול פרקינסון הינו מהנדס מערכות בכיר בחברת ווינד ריבר
-
- Fig 1. Cross-Domain System network gateway
-
- Fig 2. Cross-Domain System network gateway
