Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Soluciones inteligentes para los más altos requisitos de seguridad en TI
1 2 1 2
3
Por eso, la Oficina Federal Alemana para la Seguridad de la Información (BSI) creó a finales de los años 90 un concepto general para SINA. En diciembre de 1999 la Oficina Federal Alemana para la Seguridad de la Información (BSI) encargó a secunet Secu-rity Networks AG el desarrollo de la línea de productos SINA.
La idea central de esta arquitectura de seguridad es la protección de distintos datos clasificados, a nivel local y durante su transmisión a través de redes abiertas. SINA surgió del deseo de crear soluciones que cumplieran con los altos requisitos de seguridad de los ministerios nacionales e internacionales, las autoridades públicas, el ejército y las empresas dedicada a la protección de información confidencial. Como socios de seguridad en TI de la República Federal de Alemania, secunet recoge estos requisitos y orienta el desar-rollo de productos SINA de manera especí-fica. Para ello, la arquitectura de red segu-ra fija desde hace más de diez años nuevos estándares una y otra vez en el mercado de la alta seguridad a nivel internacional.
– Arquitectura de alta seguridad en la trasmisión de la información con sistemas de encriptación modernos
SINA (Sichere Inter-Netzwerk-Architektur / Arquitectura de alta seguridad en redes internas) permite procesar, almacenar, transmitir y rastrear de forma segura infor-mación clasificada y otros datos sensibles. La cartera de productos incluye distintos clientes, puertas de enlace, encriptadores Ethernet y flujos de trabajo SINA, así como SINA Management. Todos los productos SINA son utilizados desde hace muchos años con gran éxito por clientes nacionales e internacionales.
La idea del proyecto nació inicialmente a partir de la demanda por una mayor segu-ridad de la información dentro de redes locales en el marco del traslado del gobierno alemán de Bonn a Berlín. Además, existe la necesidad generalizada de una encriptación adecuada para la confidencialidad a nivel de protocolo de internet y, con ello, una perspectiva de aplicación para comunicación segura a través de redes de larga distancia.
Todos los productos SINA pasan por los estrictos procesos de evaluación de la Oficina Federal Alemana para la Seguridad de la Información (BSI). Para obtener las correspondientes homologa-ciones de producto, todos los componentes se someten a amplias e intentas evaluaciones tanto a nivel nacional como internacional. Así, los productos SINA cumple con estándares de calidad muy altos.
4
SECRETO(GEHEIM)
INFORMACIÓN CLASIFICADA - CONFIDENCIAL
(VS-VERTRAULICH)
INFORMACIÓN CLASIFICADA -SOLO PARA USO INTERNO
(VS-NfD)
En esta arquitectura de TI inteligente pue-den separarse varias sesiones virtuales (separación multinivel) de forma estricta. Toda la comunicación con áreas del servi-dor o del servidor del terminal central se realiza siempre vía conexión VPN segura (IPsec). Con ello, SINA garantiza la confi-dencialidad en el procesamiento y la comunicación en todos los niveles de clasificación VS nacionales, internacionales, y un gran número de escenarios de aplica-ción.
Seguridad multinivel
Con la amplia variedad en cada una de las líneas de dispositivos, la gran gama de pro-ductos SINA cumple con los requisitos de seguridad en TI relevantes de autoridades y empresas. Esta diversidad de prestacio-nes convierte a SINA en una empresa única a nivel internacional.
La ventaja decisiva de SINA reside en el procesamiento y el almacenamiento de datos confidenciales con distinta clasifi-cación en un solo producto.
5
Aprobaciones nacionales e internacionales
SINA es el único sistema de encriptación basado en IP con homologaciones por parte de la Oficina Federal Alemana para la Seguridad de la Información (BSI) hasta el grado máximo de confidencialidad STRENG GEHEIM(TOP SECRET). También a nivel internacional los productos SINA cumplen con los altos requisitos de homo-
Para el funcionamiento conforme a la homologación deben tenerse en cuenta los requisitos/indicaciones de seguridad del documento de homologación de la BSI vigente en cada momento.* Aprobado por la Oficina Federal Alemana para la Seguridad de la Información (BSI) para uso nacional.
Aprobaciones VS
Componentes Alemania OTAN UE
SINA L3 Box GEHEIM / STRENG GEHEIM NATO SECRET SECRET UE
VS-VERTRAULICH NATO CONFIDENTIAL CONFIDENTIEL UE
VS-NfD NATO RESTRICTED RESTREINT UE
SINA One Way GEHEIM NATO SECRET –
SINA L2 Box VS-NfD NATO RESTRICTED RESTREINT UE
SINA Workstation GEHEIM NATO SECRET En evaluación
VS-VERTRAULICH NATO CONFIDENTIAL* CONFIDENTIEL UE*
VS-NfD NATO RESTRICTED RESTREINT UE
SINA Tablet VS-NfD – –
SINA Terminal GEHEIM / STRENG GEHEIM NATO SECRET En evaluación
VS-VERTRAULICH NATO CONFIDENTIAL CONFIDENTIEL UE*
VS-NfD NATO RESTRICTED RESTREINT UE
logación, entre otros para SECRET UE. Desde diciembre de 2014 los componen-tes de SINA son las únicas soluciones IPsec alemanas aprobadas para NATO SECRET.(SECRETO OTAN)
A continuación veamos brevemente las aprobaciones actuales :
Arquitectura de sistema modular
Seguridad integral
Con su enfoque integral y modular, SINA es una solución altamente integrada para una gran diversidad de requisitos durante el manejo de información clasificada y otros datos sensibles para autoridades y em-presas. La filosofía de seguridad que se aplica en los productos SINA incluye plata-formas de sistema seguros integrados en hardware debidamente aprobado para información clasificada, módulos de segu-ridad TI de varios niveles integrados e interconectados entre sí, así como aplica-ciones estrictamente separadas entre sí, también con distinta clasificación.
Discreción total y permanente
La tecnología SINA se ajusta a los requisitos de protección individuales. Independiente-mente del lugar en el que se encuentre, usted siempre podrá trabajar de forma se-gura y efectiva. En la oficina, en el puesto de trabajo en el hogar o cuando esté de viaje. Con SINA se garantiza la máxima seguridad de datos para prácticamente todos los canales de comunicación impor-tantes: desde la telefonía IP (VoiP) hasta WLAN y telefonía móvil, pasando por video-conferencias y conexiones por satélite.
Funciones de seguridad TI
Plataforma de sistema seguro
Plataforma de hardware
6
Entornos de trabajo
¿Qué es lo que con-vierte a SINA en un sistema tan potente?
SINA consiste en una arquitectura de sistema integral cuyos componentes de seguridad interactúan entre sí a la perfección.
Entornos de trabajoEn el nivel superior del modelo de capas de SINA se encuentran entornos de trabajo separados entre sí de distinta clasificación. Estos se realizan en sistemas de funcionamiento huésped convencionales encapsulados en máquinas virtuales (PC) y aplicaciones o como terminales.
7
8
Escenarios de aplicación
LAN de una autoridad o una empresa
0011
1010
1010001111010101010101010110101010101111000010101001010111110
0011101010100011110101010101010101101010001110001111010111
1101
01001
0101
1110
1011
1110
1010
0101
0001
1
SINA Workstation Desktop
SINA Terminal
SINA Workstation Notebook
SINA Tablet
SINA Smartphone
SINA L3 Box
SINA One Way
SINA L2 Boxen
Ámbitos de servidores
LAN de una oficina en el extranjero
001110101010001111010101 001110101010001111010000101011110
001110101010001111010101 001110101010001111010001010101011110
Centro de cálculo
9
LAN del Ejército
LAN en el país de utilización
0011
1010
1010
00111101010101010101011
0011
1010
1010001111010101010101010110101010101111000010101001010111110
0011101010100011110101010101010101101010001110001111010111
1101
01001
0101
1110
1011
1110
1010
0101
0001
1 0011101010100011110101010101010101101010101011111
001110101010001111010000101011110 001110101010001111
001110101010001111010001010101011110 001110101010001111
Centro de cálculo
10
SINA Gateways
SINA L3 Box
Como puerta de enlace VPN, la SINA L3 Box es el componente clave en la infraes-tructura de TI central en las redes de alta seguridad.
Los datos intercambiados entre SINA L3 Box o también con clientes SINA se trans-miten de forma segura en túneles cripto-gráficos VPN . ■ Consolidada para complejas redes de seguridad
■ Alta disponibilidad
■ Interfaces de red conmutables
■ SINA Management en modo online
■ Actualizaciones remotas
Las SINA L3 Box conectan tanto redes de autoridades públicas como redes cor-porativas a través de vías de conexión públicas, por ejemplo internet. Además, las SINA L3 Box pueden configurarse como puntos de acceso de red criptográ-ficos para el acceso de clientes de SINA a ámbitos de servidores (de terminales).
Aprobaciones hasta incluidas:
STRENG GEHEIM (Alemania)NATO SECRET (OTAN)RESTREINT UE (UE)
SINA L3 Box S 3G
11
SINA One Way
SINA One Way es una puerta de enlace negra/roja. Esta puerta de enlace se com-pone de un diodo de datos, así como de un servidor „negro“ y otro „rojo“. A través de la puerta de enlace solo se producen transferencias de datos en una dirección desde una red de origen „negra“ abierta o con baja clasificación hacia una red de destino „roja“ con mayor clasificación. El sistema permite, por ejemplo, la transfe-rencia de datos públicos encontrados en internet en una red GEHEIM.
Gracias a la especial funcionalidad de seguridad de SINA One Way se garantiza que en principio no fluya información de una red de destino „roja“ en sentido inverso.
Aprobaciones hasta incluidas:
GEHEIM (Alemania)NATO SECRET (OTAN)
■ Transferencia de datos unidireccional de alta seguridad
■ La corrección automática de fallos permite renunciar a un canal de retorno
■ Alto caudal de datos
■ Certificación Common Criteria EAL 7+
Cifrador Ethernet SINA
SINA L2 Box
La línea de productos de SINA L2 Box pone a disposición cifradores con distintos grados de prestaciones para el intercambio seguro de información en redes en la capa 2 OSI. Mediante conexiones LAN o vías de trans-misión públicas basadas en radiofrecuen-cia y líneas existe el peligro de que puedan leerse o manipularse los datos. Los datos se encriptan de forma fiable con la SINA L2 Box sin
perjudicar el funcionamiento y la potencia de las aplicaciones LAN. Las SINA L2 Box trabajan con velocidades de línea de hasta 10 GBit/s.
■ Alto caudal de datos con una eficiencia de ancho de banda optimizada
■ Utilización flexible en casi todas las redes de transmisión
■ Fácil integración en infraestructuras de red
■ Funcionamiento sin necesidad de mantenimiento
SINA L2 Box S 10G
Aprobaciones hasta (inclusive):
VS-NfD (Alemania)NATO RESTRICTED (OTAN)RESTREINT UE (UE)
SINA One Way
12
Caudal de datos
La amplia gama de productos de los com-ponentes SINA L3 y L2 con los distintos valores de rendimiento y niveles de apro-bación atiende los requisitos individuales de encriptación, funcionalidad y rendimien-to de cada autoridad y empresa.
MBit/s
10.000
5.000
3.000
1.000
400
200
100
50
30
SINA L3 Box H 200M SINA L3 Box H R 200M SINA L3 Box S 200M
SINA L3 Box S 5G (a partir de 2016)
SINA L3 Box S 3G
SINA L3 Box S 1G
SINA L3 Box E 400M
SINA L3 Box S 30M
SINA L3 Box S R 50M
13
Para un alto rendimiento, el cumplimiento de la conformidad BSI es vinculante en virtud de todas las aprobaciones existen-tes.
MBit/s
10.000
5.000
3.000
1.000
400
200
100
50
30
SINA L2 Box S 50M compact
SINA L2 Box S 100M
SINA L2 Box S 1G
SINA L2 Box S 10G
14
Clientes SINA
SINA Workstation
La SINA Workstation es un cliente de encriptación de uso tanto móvil como es-tacionario. Los usuarios se mueven en todo momento de forma segura y cómoda en el entorno de trabajo conocido (p. ej. MS Windows), tanto online como offline, en la oficina o durante los desplazamientos. El trabajo en distintos dominios de seguridad es posible mediante el funcionamiento paralelo de varios sistemas huésped (p. ej. simultáneamente en redes de información clasificada y en internet).
Con este concepto de seguridad integral, la SINA Workstation ofrece claramente más que un dispositivo de encriptación convencional. Tarjeta inteligente, VPN, encriptación de discos duros, control de interfaces y un sistema operativo seguro. Los sistemas operativos huésped, como por ejemplo MS Windows o Linux y todos los datos sensibles quedan depositados en sistemas de archivos criptográficos por separado y de forma segura.
■ Funcionamiento paralelo de sistemas huésped MS Windows o Linux clasificados y virtualizados de forma distinta
■ Procesamiento, transmisión y almacenamiento móviles de datos sensibles de alta seguridad
■ Consolidación de puestos de trabajo con varios PC y distintas redes distintas en un único cliente
■ Encriptación de discos duros y redes
SINA Workstation SAprobaciones hasta (inclusive):
GEHEIM (Alemania)NATO SECRET (OTAN)RESTREINT UE (UE)
SINA Workstation E Client IV SINA Workstation H Client IIISINA Workstation E R RV11
15
SINA Terminal
El SINA Terminal es un cliente de encrip-tación sin disco duro. Este se comunica con servidores a través de los denomina-dos protocolos de escritorio remoto. El cliente, dimensionado con una estructura delgada, sirve únicamente como terminal de entrada y salida en el que se muestran datos gráficos y se emiten señales de au-dio. Los datos se transmiten encriptados a servidores de terminal, en los cuales se lleva a cabo posteriormente el verdadero tratamiento y almacenamiento de datos.
■ Consolidada para complejas redes de TI de alta seguridad
■ Procesamiento simultáneo de datos clasificados en un máximo de hasta seis sesiones de terminal con un cliente
■ Consolidación de puestos de trabajo con varios clientes delgados (thin clients) en redes VS distintas en un único terminal.
SINA Terminal H und E
Aprobaciones hasta (inclusive):
STRENG GEHEIM (Alemania)NATO SECRET (OTAN)CONFIDENTIEL UE (UE)
16
SINA Tablet
La SINA Tablet completa la gama de clientes SINA para uso móvil. El nivel de seguridad, con todas las ventajas de la funcionalidad multinivel y multisesión, es una novedad para tablets PC. Con la interfaz optimizada para su uso en equipos con pantalla táctil se cumplen los requisitos para un confort de manejo moderno. Los usuarios per-tenecientes a autoridades públicas y em-presas trabajan con las SINA Tablets de forma cómoda, móvil y al mismo tiempo segura.
■ Seguridad móvil, basada en la acreditada SINA Workstation
■ Multisesión con sistemas huésped MS Windows y Linux
■ Cómoda integración en entornos MS Windows
SINA Tablet S Microsoft Surface Pro 3SINA Tablet S Lenovo Helix
Aprobaciones hasta (inclusive):
VS-NfD (Alemania)
17
SINA Management
La configuración y el servicio de los com-ponentes SINA se llevan a cabo en el SINA Management. Allí se generan las claves y certificados necesarios para el funciona-miento de los componentes SINA confor-me a la homologación y, al igual que los datos de configuración, se administran y almacenan de forma centralizada. Los componentes y redes SINA administrados, así como sus relaciones de seguridad, se visualizan de forma clara.
El concepto modular del SINA Manage-ment permite configuraciones de sistema escalables según las necesidades, partiendo de instalaciones offline en PC individuales hasta configuraciones online redundantes u organizadas de forma jerárquica con varios servidores.
SINA Management
0111010010101110
0011101
18
SINA Workflow
Los registros de datos clasificados ante-riores se dirigían únicamente al clásico universo de documentos de datos clasifi-cados basado en papel. Como consecuen-cia, si bien los documentos de datos clasi-ficados podían crearse de forma electrónica, solo podían recibirse en formato impreso debido a la falta de registros de datos cla-sificados electrónicos homologados. En áreas de seguridad con procesamiento de datos clasificados faltaba, además, una aplicación fiable y demostrable de forma continua del principio de „necesidad de saber“ (Need to know).
Hasta ahora, el mercado no había ofrecido ninguna solución que permitiera poder tra-bajar con documentos electrónicos según la instrucción de información clasificada (VSA).
Así, por ejemplo, los procesos de aproba-ción y suscripción conjunta (Workflows) hasta ahora se han realizado casi exclusi-vamente con medidas organizativas. Con SINA Workflow pueden procesarse escri-tos con información clasificada conforme a las normas y sin discontinuidad de medios.
El aspecto central de la toma de conoci-miento demostrada y la distribución segura de contenidos se lleva a cabo mediante funciones criptográficas. También se ga-rantiza la aplicación y el cumplimiento de directrices de confidencialidad u otras regulaciones oficiales para proteger la do-cumentación con información clasificada mediante un concepto fiable de registro.
19
Sistemas de almacenamiento
Funciones básicas
Derechos de acceso
Principio de necesidad de información
Servicio de registro(SINA Workflow Server)
ExportarImportar Imprimir Escanear
Puestos de trabajo VS(Clientes SINA Workflow)
No autorizado
Autorizar
Distribuir
Procesar
Crear
0011101010100011110111010100110110111010100
SINA Workflow
SINA Workflow es un grupo de sistemas de puestos de trabajo seguros con varias SINA Workstation y SINA Workflow Server escalable con registro electrónico integrado de datos clasificados.
La solución del sistema interviene ya con la creación de los datos (borradores), acompaña el proceso hasta su finalización (copia en limpio), así como una posible destrucción posterior. La solución del siste-ma modular apoya, además, la importación y exportación de datos clasificados y está preparada para un intercambio de datos clasificaciones que abarca varios domini-os.
Clasificar
Editar
20
Referencias SINA
21
secunet Security Networks AG
Essen, Alemania
www.secunet.com