Verkkotason turvaratkaisut puolustuksessa: tiedonsiirto luokitustasojen välillä turvallisesti

Kirjoittanut Corvus Intelligence -insinööritiimi · Tietoa tiimistä →

4. kesäkuuta 2026 9 min lukuaika

Verkkotason turvaratkaisu (CDS) on laitteisto- ja ohjelmistojärjestelmä, joka mahdollistaa hallitun tiedonsiirron eri turvaluokiteltujen verkkojen välillä — esimerkiksi SALAINEN operatiivisesta verkosta JULKISELLE koalitioiden portaalille tai JULKISESTA sensorisyötteestä SALAISEEN johtamis- ja ohjausjärjestelmään. Ilman CDS:ää nämä kaksi verkkoa on pidettävä täysin erillään: niiden välillä ei voi siirtää lainkaan dataa. CDS:n avulla tarkoin määritellyt siirrot voivat tapahtua tiukan politiikan toimeenpanemana, jolloin luokiteltu tiedustelutietoAineisto voi ohjata luokittelemattomia taktisia päätöksiä ja luokittelematon data voi syöttää luokiteltuja analytiikkaympäristöjä paljastamatta korkeamman luokituksen verkkoa vaarantumiselle.

CDS-teknologia sijoittuu politiikan, tekniikan ja kansallisen turvallisuuslainsäädännön leikkauspisteeseen. CDS:n oikea valinta, käyttöönotto ja integrointi on yksi merkittävimmistä arkkitehtuuripäätöksistä luokitellussa puolustusohjelmistoohjelmassa. Huonosti määritelty tai virheellisesti integroitu CDS on joko liian rajoittava — estäen operatiivisesti välttämättömät tietovirrat ja heikentäen tehokkuutta — tai liian salliva, luoden hallitun polun, jonka kautta arkaluonteinen tieto voi vuotaa matalamman luokituksen verkkoihin. Tässä artikkelissa käsitellään arkkitehtuuria, akkreditointia ja integraatiomalleja, joita tietoturva-arkkitehtien ja puolustuksen CIO:iden on hallittava päätöksenteon tueksi.

Miksi verkkotason siirrot ovat operatiivisesti välttämättömiä

Operatiivinen tarve verkkotason tiedonsiirtoon syntyy puolustuksen tiedonhallinnan perustavanlaatuisesta jännitteestä: arvokkain tiedustelutieto on usein erittäin luokiteltu, mutta sen perusteella toimivat henkilöt ja järjestelmät toimivat usein matalamman luokituksen tasoilla tai koalitioympäristöissä, joissa kansallisten luokitusrajojen yli tapahtuva tietojen jakaminen on välttämätöntä.

Tiedustelutiedon siirto operaatioihin on CDS:n klassinen käyttötapaus. SALAINEN tiedustelutuote — uhka-arvio, kohdepaketti, joukkojen sijoitusraportti — on desinfioitava ja julkaistava JULKISELLE tai koalition verkolle, jotta taktiset komentajat ja kumppanikansakuntien joukot voivat toimia sen perusteella. Ilman CDS:ää tämä prosessi vaatii manuaalisen ihmistarkastuksen ja manuaalisen alennetun tiedon uudelleensyöttämisen, mikä on hidasta, virhealtista eikä skaalaudu modernien tietotoimintojen volyymiin.

Sensoridatan kerääminen eri luokitustasoilta ajaa käänteistä virtaa. Luokittelematon avoimen lähdekoodin tiedustelu (OSINT), kaupallisesti saatavilla olevat satelliittikuvat ja kumppanikansakuntien sensorisyötteet on kerättävä SALAISEN tai korkeamman luokituksen analytiikkaympäristöihin yhdistettäväksi luokiteltuun dataan. CDS tarjoaa hallitun keräilypolun: luokittelematon data siirtyy korkeamman luokituksen ympäristöön guardin kautta, jossa se voidaan yhdistää luokiteltuun dataan, joka ei koskaan poistu korkean puolen verkosta.

Koalitio-operaatiot luovat verkkotason vaatimuksia kansallisten luokitusrajojen yli. NATO:n REL-merkinnät (Releasable) ja Mission Secret -luokitustaso määrittelevät, mitä tietoa voidaan jakaa tiettyjen kumppanikansakuntien kanssa, mutta tekninen mekanismi näiden jakamissääntöjen toimeenpanemiseksi verkkotasolla vaatii CDS:n, joka ymmärtää ja toimeenpanee koalition tietojen jakamispolitiikat.

Keskeinen havainto: CDS:ien kysyntää ei ensisijaisesti ajaa halu yhdistää verkkoja — vaan niiden täydellisestä erottamisesta aiheutuvat operatiiviset kustannukset. Jokainen manuaalinen alennettu prosessi, jokainen viivästynyt tiedustelutuote, jokainen analyytikko, joka ei pysty näkemään koko kuvaa puuttuvan valtakirjan takia, edustaa tehokkuustappiota, jonka vähentämiseen CDS-teknologia on suunniteltu.

CDS-arkkitehtuurimallit

CDS-tuotteet toteuttavat jonkin useista arkkitehtuurimalleista, joista kukin soveltuu erilaisiin tietovirtavaatimuksiin ja varmuustasoihin.

Datadiodit ovat yksinkertaisin ja korkein varmuustason CDS-arkkitehtuuri. Datadiodi on laitteistolaite, joka fyysisesti pakottaa yksisuuntaisen tietovirran optisen erottelun avulla: korkean puolen lähetin lähettää dataa valokuituyhteyden kautta matalan puolen vastaanottimelle ilman paluupolkua. Koska paluukanavaa ei ole, korkean puolen verkko ei voi vastaanottaa mitään tietoa matalan puolen verkolta — ei edes TCP-kuittauspaketteja. Datadiodit soveltuvat tilanteisiin, joissa absoluuttisen yksisuuntaisen virran varmuus on tärkeämpää kuin protokollan tehokkuus. Ne vaativat protokollaadaptaation (tyypillisesti UDP-pohjaiset datapumput) TCP-kuittausten puuttumisen kiertämiseksi, eivätkä ne suorita sisältötarkastuksia — ne välittävät kaiken datan määritettyyn suuntaan. Tavallisia käyttötapauksia ovat yksisuuntainen lokien vienti luokitelluista järjestelmistä SIEM-alustoille, yksisuuntaiset sensorisyötteet luokiteltuihin verkkoihin ja yksisuuntainen esihy väksytyn bulkkidatan julkaisu.

Korkealta matalalle -guardit ovat kaksisuuntaisia laitteita, jotka toimeenpanevat sisältöpohjaisen tietoturvapolitiikan korkeamman luokituksen verkosta matalamman luokituksen verkkoon virtaavalle datalle. Guard vastaanottaa siirtopyynnön korkean puolelta, tarkistaa sisällön määriteltyä tietoturvapolitiikkaa vasten ja — jos sisältö läpäisee kaikki tarkistukset — välittää hyväksytyn sisällön matalalle puolelle. Guard kirjaa sekä hyväksytyt siirrot että estetyt siirrot tarkastusta varten. Korkealta matalalle -guardeja käytetään hallittuun salauksenpoistoon: tiedustelutuotteiden, raporttien tai tietokantakirjausten julkaisemiseen luokitellusta verkosta luokittelemattomaan tai koalition verkkoon. Tarkistusmoottori tutkii sisällön luokitusmerkintöjen, arkaluonteisten avainsanojen, upotettuja metatietojen ja haitallisen sisällön varalta ennen siirron hyväksymistä.

Kaksisuuntaiset guardit tukevat hallittua tietovaihtoa molempiin suuntiin luokitusrajan yli. Korkealta matalalle virtaava data tarkistetaan luokituspolitiikan noudattamisen ja haitallisen sisällön varalta. Matalalta korkealle virtaava data tarkistetaan haittaohjelmien, muotovaatimusten ja luvattomien sisältötyyppien varalta. Kaksisuuntaisia guardeja käytetään, kun operatiiviset työnkulut vaativat molemmat suunnat: luokittelemattomista johtamis- ja ohjausjärjestelmistä virtaavat komentosanomat luokiteltuihin sensori- tai asejärjestelmiin tilaraporttien palatessa takaisin. Kaksisuuntaisilla guardeilla on laajempi hyökkäyspinta kuin datadioodeilla ja ne vaativat tiukempaa akkreditointia, mutta ne tukevat koko operatiivisten työnkulkujen kirjoa.

Suodatinpohjaiset guardit sisällön tarkistuksella toteuttavat jäsennellyn analyysin jokaisesta siirtopyynnöstä muodollista tietoturvapolitiikkaa vasten. Sisällön tarkistusputkisto sisältää tyypillisesti: tiedostotyypin validoinnin (hyväksyttyjen muotojen sallittujen listaaminen), jäsennellyn datan skeemavalidoinnin (XML, JSON tarkistettuna hyväksyttyjä skeemoja vasten), haittaohjelmaskan nauksen (virustorjunta ja hiekkalaatikko tiedostoille), metatietojen poiston (tiedostojen metatietojen poistaminen, jotka voivat sisältää luokitusmerkintöjä tai tekijätietoja) sekä — korkean varmuuden korkealta matalalle -siirroille — semanttisen sisällön tarkistuksen, joka analysoi tekstiä luokitusmerkintöjen ja arkaluonteisten avainsanojen varalta.

Keskeinen havainto: Sisällön tarkistus CDS:ssä ei ole yksinkertainen haittaohjelmaskannaus — se on monitasoinen politiikan toimeenpanoputkisto. Korkean varmuuden korkealta matalalle -siirroissa SALAINEN-tasolla ja sitä ylempänä tarkistuksen on kyettävä havaitsemaan asiakirjatekstiin, metatietoihin ja jopa kuvasisiältöön upotetut luokitusmerkinnät. Politiikan oikea määrittely vaatii tiivistä yhteistyötä tietoturva-arkkitehdin, tietojen omistajan ja akkreditointiviranomaisen välillä hyvissä ajoin ennen CDS:n käyttöönottoa.

Akkreditointikehykset: UCDMO, NSA ja NATO

Yhdysvaltain kansallisissa turvallisuusjärjestelmissä käytettävien CDS-tuotteiden on esiinnyttävä Unified Cross Domain Management Office (UCDMO) Baselinessa — NSA:n arvioiman ja hyväksymän CDS-tuotteiden auktoritatiivisessa listassa. UCDMO Baselinea ylläpitää NSA:n National Cross Domain Strategy and Management Office (NCDSMO), ja se on saatavilla selvitettyjen ohjelmatoimistojen kautta luokiteltujen kanavien kautta. Tuote pääsee peruslistalle NSA:n arviointiprosessin kautta, joka arvioi tietoturva-arkkitehtuuria, toteutusta ja operatiivisia menettelytapoja sovellettavan suojausprofiilin vaatimusten perusteella.

Uuden CDS-tuotteen arviointiprosessi kestää tyypillisesti 18–36 kuukautta. Ohjelmatoimistoille käytännön johtopäätös on selvä: suunnittele verkkotason arkkitehtuurisi jo UCDMO Baselinessa olevien tuotteiden ympärille. Uuden, arvioimattoman tuotteen tuominen ohjelmaan viivyttää akkreditointiaikataulua vuosilla.

Myös listatun tuotteen käyttöönotto tietyssä ympäristössä edellyttää ympäristökohtaisen akkreditoinnin. Ympäristökohtainen akkreditointipaketti dokumentoi CDS:n tarkan konfiguraation, kunkin hyväksytyn tietovirtaan voimassa olevan sisällön tarkistuspolitiikan, integraation ympäröivään järjestelmään ja operatiiviset menettelytavat CDS:n hallintaan ja valvontaan. Akkreditointiviranomainen tarkastaa tämän paketin ja myöntää toimintavaltuutuksen (ATO) kyseiselle käyttöönotolle. Ympäristökohtaiset akkreditoinnit kestävät tyypillisesti 3–9 kuukautta integraation monimutkaisuuden ja akkreditointiviranomaisen työmäärän mukaan.

NATO:n akkreditointi hallinnoidaan NATO:n viestintä- ja tietojärjestelmäviraston (NCI Agency) ja kansallisten viestinnän tietoturvaviranomaisten kautta. NATO:n CDS-tuotteet arvioidaan NATO-spesifisiä suojausprofiileja vasten ja listataan NATO:n vastineessa UCDMO Baselinelle. Yhdysvaltain kansallisiin turvallisuusjärjestelmiin hyväksyttyjä tuotteita ei automaattisesti hyväksytä NATO-käyttöön — erillinen arviointi ja listaus vaaditaan, vaikka toimittajat yleensä hakevat molempia samanaikaisesti.

EU:n luokiteltujen tietojärjestelmien hallinnointia ohjaa EU:n luokiteltujen tietojen (EUCI) turvallisuussäännöstö, jossa akkreditointia hallinnoi neuvoston turvallisuuskomitea ja kansalliset turvallisuusakkreditointiviranomaiset. EU-luokitelluissa ympäristöissä käytettävien CDS-tuotteiden on oltava hyväksyttyjä EU:n kehyksen mukaisesti, jälleen erillisen arviointiprosessin kautta.

CDS-tuotekategoriat ja toimittajaympäristö

Kaupallista CDS-markkinaa palvelee pieni joukko toimittajia, jotka ovat investoineet vuosia kestävään NSA-arviointiprosessiin. Sen sijaan että suosittelisimme tiettyjä tuotteita, arkkitehdeille on hyödyllisempää ymmärtää tuotekategoriat ja arvioitavat ominaisuudet.

Verkkotason guardit toimivat IP/TCP-tasolla ja integroidaan verkkoinfrastruktuuriin kahden luokitustason verkon väliin. Ne tarjoavat protokollasuodatuksen, IP-suodatuksen ja perustason sisällön tarkistuksen. Ne soveltuvat bulkkidatan siirtoihin, joissa sisällön tarkistusvaatimukset ovat suhteellisen yksinkertaiset (tiedostotyyppi ja haittaohjelmaskanaus) ja viive on vähemmän kriittinen.

Sovellustasoguardit toimivat sovellusprotokollatasolla — sähköposti, tiedostonsiirto, verkkopalvelut — ja integroituvat tiettyihin sovellusprotokolliin. Sähköpostiguardit tarkistavat sähköpostiviestit ja liitteet tietoturvapolitiikan mukaisesti; tiedostonsiirtaguardit tarkistavat yksittäiset tiedostot hyväksyttyjä skeemoja ja tiedostotyypisääntöjä vasten; verkkopalvelut guardit toimivat API-välityspalvelimina, jotka tarkistavat pyyntö- ja vastaussisällöt. Sovellustasoguardit tarjoavat rikkaammat sisällön tarkistusmahdollisuudet kuin verkkotason guardit, mutta vaativat integraation rajalla olevien sovellusten kanssa.

Striimiguardit käsittelevät reaaliaikaisia datastriimejä — videota, telemetriaa, sensoridataa — ja on optimoitu matalan viiveen, korkean läpäisykyvyn siirtoihin muotovalidoinnilla ja striimiityypille sopivalla sisältösuodatuksella. Videokuardit voivat esimerkiksi poistaa upotettuja metatietoja videostriimiistä, asettaa koodekkirajoituksia ja skannata steganografista sisältöä.

Akkreditoidulla CDS-markkinalla aktiiviset toimittajat sisältävät datadiodilaitetteistoon erikoistuneita yrityksiä (tyypillisesti korkean varmuuden yksisuuntaisiin vaatimuksiin) sekä yrityksiä, jotka tarjoavat laajempia guard-tuoteperheitä kattaen sähköpostin, tiedostonsiirron ja verkkopalvelusiirrot. Minkä tahansa kansallisen turvallisuusjärjestelmän CDS-kykyä väittävän toimittajan tulisi pystyä osoittamaan UCDMO Baseline -listauksensa tai aktiivinen arviointistatuksensa — jos he eivät pysty, tuote ei sovellu luokiteltuihin käyttöönottotilanteisiin teknisistä kyvyistä huolimatta.

Integraatiomallit puolustusohjelmistoille

Puolustusohjelmistoarkkitehtien on suunniteltava sovelluksensa yhteentoimiviksi olemassa olevan tai suunnitellun CDS:n kanssa. CDS hankitaan ja hallinnoidaan tyypillisesti erillään sovellusohjelmistosta — sovelluksesi ei hallinnoi CDS:ää; se lähettää dataa sille ja vastaanottaa hyväksyttyä dataa siitä. Integraatiomalli on valittava vastaamaan CDS-tuotteen tuettuja liittymiä ja tietovirtavaatimuksia.

API-välityspalvelinmalli: Korkean puolen sovellus lähettää dataa CDS-hallinnoituun API-päätepisteeseen (tyypillisesti REST tai SOAP). CDS tarkistaa hyötykuorman ja, jos se hyväksytään, välittää sen vastaavaan matalan puolen päätepisteeseen. Sovellus saa synkronisen vastauksen, joka ilmoittaa siirron hyväksymisestä tai hylkäämisestä. Tämä malli soveltuu pienivoluumisiin, viiveensietokykyisiin siirtoihin, joissa sovellus tarvitsee välitöntä palautetta siirron hyväksymisestä.

Viestijonomalli: Korkean puolen sovellus julkaisee viestejä viestijonoon (JMS, AMQP tai CDS:n oma jono). CDS kuluttaa viestejä jonosta, tarkistaa jokaisen ja julkaisee hyväksytyt viestit matalan puolen jonoon, josta vastaanottava sovellus kuluttaa ne. Hylätyt viestit kirjataan lokiin ja hälytys luodaan. Tämä malli soveltuu suurivoluumisempiin, asynkronisiin siirtoihin, joissa tuottavien ja kuluttavien sovellusten irtikytkentä on toivottavaa. Sovelluksen on käsiteltävä tapaus, jossa viesti hylätään eikä toimiteta vastakkaiselle puolelle.

Sähköpostiyhdyskäytävämalli: Korkean puolen sovellus luo sähköpostiviestejä jäsenneltyine liitteineen (PDF-raportit, XML-datatiedostot) ja lähettää ne CDS-sähköpostirelein kautta. CDS toimii MTA:na, joka tarkistaa viestin ja liitteet ennen niiden välittämistä matalan puolen postipalvelimelle. Tämä malli on yleisin ihmisen käynnistämissä datajulkaisuissa — analyytikko koostaa raportin, liittää PDF:n ja lähettää sen matalan puolen verkon jakelulistalle. CDS poistaa metatiedot PDF:stä, skannaa luokitusmerkintöjen varalta ja toimittaa puhdistetun viestin, jos se läpäisee tarkistuksen.

Integraatiomallista riippumatta sovelluskoodi on käsiteltävä CDS:n hylkäykset hallitusti. Siirrot voidaan hylätä politiikkasyistä (sisältö sisältää luokitusmerkinnän, jota ei pidä julkaista), teknisistä syistä (virheellinen XML, odottamaton tiedostotyyppi) tai ohimenevistä syistä (CDS tilapäisesti ei tavoitettavissa). Sovelluksen tulisi määritellä eksplisiittinen toiminta jokaista tapausta varten: operaattorin ilmoitus, karanteenijono, uudelleenyrityslogiikka ja auditokilokirjaus jokaisesta siirtoyrityksestä ja lopputuloksesta.

Keskeinen havainto: Suunnittele sovelluksesi kohtelemaan CDS:ää epäluotettavana, politiikkaa toimeenpanevana välikätenä — ei läpinäkyvänä verkkoyhteytenä. Jokainen siirtoyritys tulisi kirjata lokiin, jokainen hylkäys tulisi generoida operaattorin ilmoitus ja sovellus ei saa koskaan hiljaisesti hävittää dataa, jonka CDS on estänyt. CDS-vuorovaikutusten lokiketju on itsessään tietoturvaan liittyvä artefakti, jonka akkreditointiviranomaiset tarkistavat.

CDS-vaatimuksen laajuuden määrittely uudelle puolustusjärjestelmälle

CDS-vaatimuksen laajuuden aikainen määrittely välttää kalliit myöhäisvaiheen arkkitehtuuriuudelleenrakentamiset, jotka aiheutuvat verkkotason siirron käsittelystä jälkiajatuksena. Laajuuden määrittelyprosessin tulisi tuottaa muodollinen Verkkotason Siirtovaatimusdokumentti, josta tulee osa järjestelmän tietoturvavaatimusten perustaa.

Vaihe 1 — Tunnista kaikki verkkotason tietovirrat. Kartoita kaikki järjestelmässäsi esiintyvät tietovirrat, jotka ylittävät luokitusrajan. Dokumentoi jokaisen virran osalta: lähde- ja kohdeverkon luokitustasot, tietotyyppi ja -muoto, siirtosuunta, volyymi- ja viivevaatimukset sekä operatiivinen tarve, jota virta tukee. Tämä inventaario on kaikkien myöhempien päätösten perusta.

Vaihe 2 — Määritä sovellettava akkreditointikehys. Selvitä, käyttääkö ohjelma Yhdysvaltain UCDMO:ta, NATO:a, EU-ACC:tä tai kansallista kehystä. Tämä määrittää, mitkä tuoteluettelot ovat auktoritatiivisia ja minkä akkreditointiviranomaisen on hyväksyttävä ympäristökohtainen akkreditointipaketti. Ota akkreditointiviranomainen mukaan varhain — heidän syöttönsä hyväksyttävistä arkkitehtuureista voi säästää kuukausien uudelleenrakentamiselta.

Vaihe 3 — Valitse CDS-arkkitehtuuri. Sovita arkkitehtuuri (datadiodi, korkealta matalalle -guard, kaksisuuntainen guard) tietovirtaominaisuuksiin. Suosi yksinkertaisempia arkkitehtuureja, kun operatiivisesti mahdollista — vaatimukset täyttävä datadiodi on parempi kuin kaksisuuntainen guard, joka tuo tarpeetonta monimutkaisuutta ja hyökkäyspintaa.

Vaihe 4 — Määrittele sisällön tarkistuspolitiikka. Määrittele jokaisen hyväksytyn tietovirtaosan tarkat tarkistussäännöt: sallitut tiedostotyypit, enimmäistiedostokoko, jäsennellyn datan skeemamäärittelyt, haittaohjelmaskannaustarpeet sekä epäonnistuneiden tarkistusten käsittelysäännöt. Politiikka-asiakirja on virallinen toimitus, joka on hyväksyttävä osana akkreditointipakettia.

Vaihe 5 — Suunnittele integraatioliittymä. Valitse integraatiomalli ja suunnittele sovellusliittymät CDS:ään. Varmista, että sovellus käsittelee hylkäykset hallitusti ja kirjaa kaikki siirtoyritykset lokiin.

Vaihe 6 — Rakenna ja testaa edustavaa CDS-instanssia vasten. Hanki toimittajalta testiyksikkö ja rakenna automaattiset integraatiotestit, jotka kattavat: hyväksytyn datan läpipääsyn, hylätyn datan estämisen, väärin muodostetun datan käsittelyn ja CDS:n vikatilanteet.

Vaihe 7 — Valmistele ympäristökohtainen akkreditointipaketti. Kokoa akkreditointidokumentaatio ja lähetä akkreditointiviranomaiselle hyvissä ajoin ennen suunniteltua operatiivista päivämäärää. Varaudu 3–9 kuukauden tarkastusaikaan.

Ohjelmissa, joissa CDS-vaatimus tunnistetaan myöhäässä — sovellusarkkitehtuurin ollessa jo määritelty — integraatiotyö on monimutkaisempaa, mutta samat periaatteet pätevät. Ota CDS-toimittajan integraatiotiimi mukaan varhain: heillä on kokemusta tuotteensa sovittamisesta erilaisiin sovellusarkkitehtuureihin ja he voivat tunnistaa tilanteeseesi vähiten hankaluuksia aiheuttavan integraatiotavan. Ohjeistusta siitä, miten CDS-integraatio sopii laajempaan turvalliseen pilviinfrastruktuuriin, löydät artikkelistamme nollaluottamusarkkitehtuurista sotilasverkoille sekä siitä, miten ilmarakoverkon käyttöönottomallit täydentävät CDS-hallittuja siirtoput kia. Salaisuuksien ja avainten hallinnan osalta, joka on välttämätöntä jokaisen CDS-käyttöönoton yhteydessä, katso artikkelimme salaisuuksien hallinnasta puolustuksen CI/CD-putkistoissa.

Keskustele projektistasi

Suunnittelemme ja integroimme verkkotason turvaratkaisuarkkitehtuureja puolustusohjelmistoille — vaatimusten laajuuden määrittelystä ja CDS:n valinnasta akkreditointitukeen ja sovellusintegraatioon.

Varaa demo → Suojattu pilvi -palvelut

Tämän analyysin ovat valmistelleet Corvus Intelligencen insinöörit, jotka rakentavat missiokriittistä ohjelmistoa puolustus- ja valtiollisille organisaatioille. Tutustu tiimiimme →

Usein kysytyt kysymykset

Kuinka kauan CDS-akkreditointi kestää?

Yhdysvaltain UCDMO-akkreditointi uudelle CDS-tuotteelle kestää tyypillisesti 18–36 kuukautta alkuperäisestä hakemuksesta peruslistaukseen, riippuen ratkaisun monimutkaisuudesta ja NSA-arvioinnissa havaittujen löydösten määrästä. Jo listatun tuotteen käyttöönotto tietyssä ympäristössä edellyttää edelleen ympäristökohtaista akkreditointipakettia, joka kestää yleensä 3–9 kuukautta akkreditointiviranomaisen ja integraation monimutkaisuuden mukaan. NATO:n vastaavat akkreditointiaikataulut ovat suunnilleen samanlaiset.

Voidaanko CDS toteuttaa pelkästään ohjelmistolla?

Useimmissa korkean varmuuden skenaarioissa — SALAINEN–JULKINEN-siirroissa ja kaikissa korkealta matalalle suuntautuvissa tietovirroissa — vastaus on ei. Yhdysvaltain ja NATO:n politiikka edellyttää laitteistopohjaista erottelua verkkotason siirroissa SALAINEN-tasolla ja sitä ylempänä. Laitteistopohjainen katkaisu (datadiodi yksisuuntaiseen tai fyysisesti erillinen tarkistusmoottori) on se, mikä mahdollistaa akkreditoinnin vaatiman varmuustason saavuttamisen. Pelkkiin ohjelmistoratkaisuihin voidaan tyytyä alhaisemmantasoisten siirtojen osalta saman luokitustason sisällä tai kaupallisissa sovelluksissa, mutta ne eivät yleensä kelpaa kansallisen turvallisuuden järjestelmien verkkotason siirtoihin.

Mitä tietotyyppejä CDS osaa käsitellä?

Modernit CDS-tuotteet tukevat laajaa valikoimaa tietotyyppejä, kuten jäsennettyä dataa (XML, JSON, CSV — validoitu hyväksyttyjä skeemoja vasten), tiedostoja (PDF, Word, kuvat — muotovalidoinnilla ja haittaohjelmaskannauksella), sähköpostia (liitetiedostojen tarkistuksella), videostriimejä (sisältösuodatuksella), verkkoliikennettä (eteenpäin välittävän välityspalvelimen kautta syväpakettitarkistuksella) ja tietokantareplikointivirtoja. Tuetut tietotyypit ja kuhunkin sovellettavat tarkistussäännöt määritellään CDS-tietoturvapolitiikassa, joka on hyväksyttävä osana akkreditointia. Uuden tietotyypin lisääminen edellyttää politiikan muutosta ja asianomaisen siirtopolun uudelleenakkreditointia.

Mikä ero on datadiodin ja guardin välillä?

Datadiodi on laitteistolaite, joka fyysisesti pakottaa yksisuuntaisen tietovirran — data voi liikkua vain yhteen suuntaan (tyypillisesti korkealta luokitukselta matalalle, salauksenpoistojulkaisuihin, tai matalalta korkealle, datan keräämistarkoituksiin). Guard on kaksisuuntainen laite, joka pakottaa sisältöpohjaisen tietoturvapolitiikan: se tarkistaa datan molempiin suuntiin ja sallii tai estää siirrot politiikkasääntöjen perusteella. Guardit ovat monimutkaisempia, niillä on laajempi hyökkäyspinta ja ne vaativat tiukempaa akkreditointia kuin diodit, mutta ne tukevat kaksisuuntaisia työnkulkuja, joihin diodi ei pysty.

Miten CDS integroituu olemassa olevaan puolustusohjelmistoon?

Kolme yleisintä integraatiomallia ovat: (1) API-välityspalvelin — korkean puolen sovellus lähettää dataa CDS-hallinnoituun API-päätepisteeseen, CDS tarkistaa sen ja välittää hyväksytyn sisällön matalan puolen päätepisteelle; (2) viestijonot — korkean puolen sovellus julkaisee viestejä jonoon, CDS kuluttaa jonosta, tarkistaa ja uudelleenjulkaisee hyväksytyt viestit matalan puolen jonoon; (3) sähköpostiyhdyskäytävä — korkean puolen sähköposti liitteineen reititätään CDS-sähköpostisuodattimen kautta, joka tarkistaa liitteet ennen välittämistä matalan puolen postipalvelimelle. Integraatiomallin valinta vaikuttaa sovelluksen ja CDS:n välisen rajapinnan viiveeseen, läpäisykykyyn ja monimutkaisuuteen.