NATO-pilviportaat: salaamattoman, salaisen ja erittäin salaisen infrastruktuurin arkkitehtuuri

Kirjoittanut Corvus Intelligence -insinööritiimi · Tietoa tiimistä →

4. kesäkuuta 2026 9 min lukuaika

NATO:n luokituskehys jakaa tiedot neljään tasoon — NATO Unclassified (NU), NATO Restricted (NR), NATO Confidential (NC) ja NATO Secret (NS) — joiden yläpuolella on Cosmic Top Secret (CTS) liiton arkaluonteisimmille tiedoille. Jokainen taso asettaa erilliset infrastruktuuri-, henkilöstö- ja prosessivaatimukset. Ohjelmisto, joka toimii useammalla kuin yhdellä tasolla, ei voi kohdella luokittelua jälkikäteen lisättävänä ominaisuutena; tasorakenne on kantava arkkitehtuuri.

Puolustuksen ohjelmistotoimittajille näiden tasojen ymmärtäminen fyysisen infrastruktuurin, verkkoarkkitehtuurin, identiteettijärjestelmien ja akkreditointiprosessien osalta ei ole valinnaista. Tuote, joka on sertifioitu vain NATO Unclassified -ympäristöihin, ei tule hyväksytyksi NATO Secret -operaatioihin teknisistä kyvyistä riippumatta. Toisaalta järjestelmän ylimitoittaminen Secret-standardeille, kun Unclassified riittää, aiheuttaa tarpeetonta kustannus- ja aikatauluriskiä. Oikean tasomapping-päätöksen tekeminen alusta alkaen on NATO-ohjelman merkittävin arkkitehtuurinen päätös.

NATO:n luokitusportaiden malli

NATO:n turvallisuuspolitiikka, jota säätelevät C-M(2002)49 ja sen seuraaja-asiakirjat, määrittelee luokitustasot sen haitan indikaattoreina, jonka luvaton paljastaminen aiheuttaisi. Käytännön infrastruktuurivaikutukset kullakin tasolla ovat merkittävät:

NATO Unclassified (NU) kattaa julkisesti julkaistavat tiedot ja sisäiset hallinnolliset tiedot, jotka eivät vaadi suojaa tavanomaisen IT-hygienian lisäksi. NU-järjestelmät voivat käyttää kaupallisia pilvipalveluita, jaettua infrastruktuuria ja tavanomaisia internetiin yhteydessä olevia verkkoja. NCIA:n pilvipalveluluettelo listaa NU-kuormille hyväksytyt kaupalliset palvelut. Tämä taso on karkeasti verrattavissa Yhdysvaltojen DoD:n NIPR-verkkoon (Non-classified Internet Protocol Router).

NATO Restricted (NR) on keskitason luokitus tiedoille, joiden paljastaminen olisi epäedullista NATO:n eduille. NR ei ole yleisesti käytössä kaikissa NATO-maissa — useilla jäsenmailla ei ole kotimaista Restricted-vastinetta. NR-kuormien infrastruktuurin on sijaittava kontrolloiduissa laitoksissa pääsynrajoituksineen, mutta se voi jakaa fyysistä laitteistoa muiden NR-kuormien kanssa eri mailta loogisen erottelun avulla.

NATO Confidential (NC) kattaa tiedot, joiden paljastaminen vahingoittaisi NATO:n etuja. NC-järjestelmät vaativat omistetut loogiset ympäristöt, hyväksytyt kryptografiset järjestelmät (tyypillisesti NCIA:n hyväksytystä luettelosta) ja henkilöstöä, jolla on vähintään turvallisuusselvitys. NC on karkeasti verrattavissa Yhdysvaltojen SIPR-verkkoon (Secret Internet Protocol Router) alemmalta tasolta.

NATO Secret (NS) on ensisijainen operatiivinen luokitus arkaluonteiselle liiton suunnittelulle, tiedustelulle ja operatiivisille tiedoille. NS-infrastruktuuri on fyysisesti erotettava NC:stä ja alemmista tasoista — erilliset palvelimet, erillinen tallennus, erillinen verkotus. Henkilöstön pääsy edellyttää NATO Secret -turvallisuusselvitystä ja tiedontarvetta. Suurin osa taktisista ja operatiivisista NATO-ohjelmistoista toimii NS-tasolla. Yhdysvaltojen vastaava on SECRET SIPR:ssä tai IL5/IL6 pilviympäristössä.

Cosmic Top Secret (CTS) ja sen erikoismerkinnät (CTS/ATOMAL, CTS/BOHEMIA jne.) vaativat SCIF-vastaavaa fyysistä turvallisuutta, täydellisen ilmaraon ulkoisista verkoista mukaan lukien NS, ja tiukasti rajoitetun henkilöstöpoolin. CTS-järjestelmiä operoidaan vain NATO:n hallinnoimissa tai kansallisesti akkreditoiduissa laitoksissa. Mikään kaupallinen pilvipalvelu, riippumatta akkreditoinnin tasosta, ei sovellu CTS:lle.

Keskeinen huomio: Operatiivisesti merkittävimmät NATO-järjestelmät toimivat NS-tasolla. Toimittajien, jotka kohdistuvat liiton ydintason C2-, ISR- ja logistiikkaohjelmiin, on arkkitehtuurisuunniteltava NS-tasoa varten alusta alkaen — NS-turvallisuustoimenpiteiden jälkikäteen lisääminen NU-tasoa varten suunniteltuun järjestelmään on harvoin toteutettavissa ilman identiteetti-, kryptografia- ja tietojenkäsittelykerrosten lähes täydellistä uudelleenrakentamista.

Fyysisen erottelun vaatimukset kullakin tasolla

Fyysisen erottelun vaatimukset ovat konkreettisin ilmaus luokitustasoista, ja ne ohjaavat infrastruktuurikustannuksia enemmän kuin mikään muu tekijä.

NATO Unclassified -tasolla jaettu fyysinen infrastruktuuri on sallittu. NU-kuorma voi toimia monen vuokralaisen kaupallisessa pilvidatakeskuksessa NATO:n ulkopuolisten vuokralaisten kanssa, edellyttäen, että pilvipalvelu on NCIA:n hyväksytyllä listalla ja looginen eristys (VPC, nimiavaruus, vuokralaisen erottelu) on oikein konfiguroitu. Tämä tekee NU:sta ainoan tason, jolla hyperscale-kaupallinen pilvi on aito vaihtoehto ilman laitostason hallintaa.

NATO Restricted ja Confidential -tasoilla fyysisen infrastruktuurin on sijaittava NATO-akkreditoidussa laitoksessa tai kansallisesti hyväksytyssä vastaavassa. Palvelin-, tallennus- ja verkkolaitteiston on oltava omistettu NATO-kuormille — sitä ei voi jakaa kaupallisten vuokralaisten tai ei-NATO-hallituksen kuormien kanssa. NATO-akkreditoidussa laitoksessa NR- ja NC-järjestelmät voivat jakaa laitteistoa tiukan loogisen erottelun alla, mutta itse laitos tarjoaa fyysisen turvallisuusrajan.

NATO Secret -tasolla fyysinen erottelu muuttuu absoluuttisemmaksi. NS-palvelimet, tallennus ja verkotus on oltava omistetulla laitteistolla, jota ei jaeta NC- tai NR-kuormien kanssa. Laitteiston on sijaittava laitoksessa, joka täyttää NATO:n TEMPEST-vaatimukset (suojaus sähkömagneettisia emissioita vastaan), vyöhykeohjatulla pääsyllä ja CCTV-valvonnalla palvelinhuoneissa. NS-ympäristöissä käytettyjä siirrettäviä tallennusvälineitä on seurattava, hallittava ja käsiteltävä NATO:n COMSEC-menettelyjen (viestintäturvallisuus) mukaisesti.

Cosmic Top Secret -tasolla fyysisen turvallisuuden vaatimukset lähestyvät kansallisen tiedustelulaitoksen tasoa: täydet SCIF-rakentamisstandardit, henkilöstön pääsy kaksitekijäbiometrisilla tai korttijärjestelmillä, Faraday-suojaus ja verkkoyhteyttä ulkoisiin järjestelmiin — mukaan lukien muut luokitellut verkot — ei ole ilman hyväksyttyä CDS:ää.

Laskentavaihtoehdot tasoittain

Kaupalliset ja GovCloud-palvelut (NATO Unclassified). NU-kuormat voidaan ottaa käyttöön kaupallisilla hyperscale-alustoilla (AWS, Azure, GCP) käyttämällä NCIA:n hyväksyttyjä palvelutarjouksia. NATO-jäsenmaille, joilla on kotimaisia suvereniteetti vaatimuksia, hyväksyttyjen toimittajien operoimat kansalliset pilvialustat ovat suositeltavia. NCIA Hybrid Cloud tarjoaa hallitun NU-ympäristön NATO:n omille hallinnollisille ja julkisille järjestelmille.

Suvereenipilvi ja omistettu vuokralaisuus (NATO Restricted / Confidential). NR/NC-kuormien käytännön laskentavaihtoehdot ovat suvereenipilven käyttöönotot — kansallisesti operoitu pilvi-infrastruktuuri, joka toimii hyväksytyllä laitteistolla kontrolloiduissa laitoksissa — tai omistetut yksityiset pilviympäristöt NATO-akkreditoiduissa datakeskuksissa. Useilla NATO-mailla on kansallisia puolustuksen pilviohjelmia: UK:n MOD Managed Cloud Services, Ranskan Cloud au Centre (SFT3) ja Saksan Bundeswehr Informationstechnik GmbH (BWI) -pilviohjelma. Nämä alustat on suunniteltu erityisesti NR/NC-tietojen säilyttämiseen ja ne ovat läpäisseet kansallisen akkreditoinnin.

Ilmaraollinen suvereeni infrastruktuuri (NATO Secret). NS-laskenta toimii ilmaraollisessa infrastruktuurissa — fyysisesti erotetuilla palvelimilla ilman ulkoista verkkoyhteyttä. Ohjelmiston käyttöönotto NS-ympäristöihin tapahtuu akkreditoiduilla medioilla (salattu USB, optinen levy tai omistettu siirtoasema) CDS:n kautta. Konttiorkestrointi NS-tasolla käyttää tyypillisesti kovetettua Kubernetes-jakelua, joka on otettu käyttöön bare-metalilla tai yksityisellä hypervisorilla ilman yhteyttä ulkoisiin rekistereihin tai päivityskanaviin. Kaikki konttivedokset on esitäytettävä, varmennettava ja ladattava ilmaraollisiin rekistereihin ennen käyttöönottoa.

Keskeinen huomio: Konttikuvien toimitusketjun hallinta on yksi NS-tason korkeimman kitkan operatiivisista haasteista. Toimittajien, jotka ottavat käyttöön konttipohjaisia sovelluksia NATO Secret -ympäristöihin, on ylläpidettävä täydellistä ohjelmiston materiaalikuvausta (SBOM), esikelpoistettava kaikki peruskuvat laitoksen kuvantarkistusprosessin kautta ja hyväksyttävä, että päivityssyklit, jotka mitataan päivissä kaupallisissa ympäristöissä, mitataan viikoissa tai kuukausissa NS-tasolla.

Verkkoarkkitehtuuri ja toimialueiden väliset ratkaisut

Monitasoisen NATO-käyttöönoton määrittävä verkkohaaste on tietovirran hallinta luokitusrajojen yli. NS-tasolta peräisin olevat tiedot eivät voi virrata NU-verkkoihin ilman hyväksytyn toimialueiden välisen ratkaisun läpikulkua. CDS valvoo turvallisuuspolitiikkaa rajalla — se ei ole pelkkä palomuuri, vaan erikoistunut laite, joka soveltaa sisällön tarkistus-, tietojen validointi- ja muotomuunnossääntöjä, jotka on määritelty järjestelmän akkreditointipaketissa.

Vahtilaitteet ovat kaksisuuntaisia suodatinlaitteita, jotka sallivat hyväksyttyjen tietotyyppien virrata tasojen välillä määriteltyjen ehtojen mukaisesti. Vahtilaite voi sallia puhdistettujen anturitietojen virrata NS:stä NU:hun laajempaa jakelua varten, samalla kun se estää kaiken suunnittelu- tai tiedustelutietojen virran. Vahtilaitteet vaativat yksityiskohtaisen sisältösuodatuspolitiikan, jonka akkreditointiviranomainen on allekirjoittanut, ja politiikasta itsestään tulee turvallisuusartefakti, jota on versioitava ja auditoitava.

Datadiodit ovat laitteistolla pakotettuja yksisuuntaisia siirtolaitteita — fyysisesti ne sisältävät vain lähettimen korkealla puolella ja vain vastaanottimen matalalla puolella, mikä tekee mahdottomaksi tietojen virtaamisen kiellettyyn suuntaan. Datadiodit käytetään massasiirtoon korkealta matalalle (esim. puhdistettujen taktisten lokien siirtäminen NS:stä NU:hun analyysiin) silloin kun kaksisuuntainen viestintä ei ole tarpeen. Tuotteet kuten Owl Cyber Defense DualDiode ja Waterfall Security Unidirectional Security Gateways ovat yleisiä NATO-vastaavissa käyttöönotoissa.

Protokollakatkot estävät suorien TCP/IP-istuntojen ulottumisen luokitusrajojen yli. Vaikka vahtilaite sallisi tietojen virran, yhteyden on lopetettava vahtilaittella ja aloitettava uudelleen toisella puolella — päästä päähän -istunto ei saa ylittää tasorajaa. Tällä on merkittäviä vaikutuksia reaaliaikaisille sovelluksille: suoratoistovideo, ääni ja anturisyötteet, jotka ylittävät NS:stä NU:hun, on koodattava uudelleen ja lähetettävä uudelleen vahtilaittella, mikä aiheuttaa viivettä ja edellyttää muotojen neuvottelua.

Corvus Quantumlle, joka tarjoaa suojattua video- ja datasuoratoistoa puolustusympäristöissä, monitasoiset käyttöönotot edellyttävät suoratoistopipeline:n toteuttamista monitasoisena releinä — NS-enkooderi syöttää hyväksyttyä CDS:ää, joka aloittaa uudelleen puhdistetun virran NU-puolella. Suoratoistoprotokollan on oltava CDS-yhteensopiva (tyypillisesti UDP kiinteällä pakettirakenteella, jonka vahtilaitteiden sisältösuodattimet voivat jäsentää), ei tilallinen istuntoprotokolli, joka vaatii päästä päähän -TCP:tä.

Identiteetti- ja pääsynhallinta eri tasoilla

Jokainen luokitustaso ylläpitää omaa PKI-luottamusankkuriaan (Public Key Infrastructure), eivätkä alemman tason PKI:n sertifikaatit ole automaattisesti luotettuja korkeamman tason ympäristössä. NATO Unclassified -tasolla tavanomainen kaupallinen PKI tai kansallinen hallituksen PKI voi olla hyväksyttävissä. NATO Secret -tasolla identiteettiinfrastruktuuri on NATO PKI — NCIA:n operoima omistettu varmentaja, joka myöntää sertifikaatit älykorteille (NATO CIS -tunnisteet), jotka jaetaan henkilöstölle, jolla on NS-selvitykset.

Käytännön seuraus monitasoisille sovelluksille on, että tasojen välillä toimivalla käyttäjällä on oltava erilliset identiteetit ja erilliset laitteistotunnisteet kullakin tasolla. Järjestelmä, joka yrittää jakaa yksittäisen identiteetin NU:n ja NS:n välillä, ei ole akkreditoitavissa. Sovellusten on toteutettava erilliset todennusvirrat kullekin tasolle ilman istuntotunnuksen tai tunnistemateriaalin ylittämistä tasorajan yli.

Monitekijätodennus on pakollinen kaikilla NU:n yläpuolisilla tasoilla. NC/NS-tasolla standardi on sertifikaattipohjainen todennus laitteistotunnisteella (PKI-älykortti) plus PIN — biometriset tekijät voivat täydentää mutta eivät voi korvata sertifikaattitekijää. Salasanapohjaistodennus ei ole hyväksytty millään luokitellulla tasolla. NS-ympäristöihin käyttöön otetuille verkkopohjaisille sovelluksille vastavuoroinen TLS asiakassertifikaattiautentikaatiolla on perusviiva ilman poikkeuksia kehittäjä- tai palvelutileille.

NS-tason etuoikeutettu pääsynhallinta edellyttää tyypillisesti hyppypalvelimia (etuoikeutetut pääsytyöasemat, PAW), jotka ovat fyysisesti ja loogisesti eristettyjä tavallisista käyttäjätyöasemista, ja kaikki etuoikeutetut istunnot on tallennettava ja auditoitava. PAW-ympäristö itsessään on oltava osa akkreditoitua järjestelmärajaa.

Ohjelmistosertifiointi ja NATO:n akkreditointiprosessi

NC- tai NS-tasolla toimivan ohjelmiston on oltava sertifioitu NATO:n turvallisuusakkreditointiprosessin kautta, jota hallinnoi NATO:n turvallisuusakkreditointiviranomainen (SAA) — NCIA:n sisällä oleva elin, joka vastaa järjestelmien hyväksymisestä NATO-verkkoihin. Akkreditointiprosessi noudattaa NATO:n INFOSEC-teknistä perustasoa (ITB), joka on joukko turvallisuusvaatimuksia kattaen pääsynhallinnan, kryptografian, auditoinnin, haavoittuvuushallinnan ja konfiguraationhallinnan.

Akkreditointipaketti sisältää järjestelmän turvallisuussuunnitelman (SSP), joka dokumentoi järjestelmärajan, tietovirrat ja turvallisuustoimenpiteet; riskiarvioinnin, joka kartoittaa jäännösriskit ITB:hen; konfiguraationhallintasuunnitelman; ja tapahtumaresponssisuunnitelman. Kahdenvälisten sopimusten nojalla kansallisissa laitoksissa käyttöön otetulle ohjelmistolle kansallinen nimetty akkreditointiviranomainen (DAA) — vastaavia rooleja on UK:ssa (DSO), Saksassa (BSI), Ranskassa (ANSSI) ja muissa jäsenmaissa — voi suorittaa akkreditoinnin NATO SAA:n sijasta, mutta sovellettujen standardien on täytettävä tai ylitettävä ITB.

Toimittajien tulisi suunnitella useita akkreditointisyklejä. Alkuakkreditointi sisältää tyypillisesti ensimmäisen hakemuksen, SAA:n havaintoraportin, korjausjakson ja uudelleenhakemuksen — täydellinen sykli kestää rutiininomaisesti 12–24 kuukautta NS-järjestelmille. Jokainen merkittävä ohjelmistojulkaisu, joka muuttaa järjestelmärajaa, ottaa käyttöön uusia tietovirtoja tai muuttaa kryptografisia toteutuksia, voi käynnistää osittaisen uudelleenakkreditoinnin. Akkreditoinnin ylläpidon rakentaminen osaksi tuotekehityksen elinkaarta — ei kohdella sitä kertaluonteisena tapahtumana — on olennaista ohjelmille, joilla on monivuotinen operatiivinen horisontti.

Keskeinen huomio: NATO:n akkreditointiaikataulu on yleisimmin aliarvioitu aikatauliriski liiton ohjelmistoohjelmissa. Ensimmäiseen NATO-ohjelmaan astuvien toimittajien tulisi budjetoida 18 kuukautta ensimmäisestä SSP-hakemuksesta operatiiviseen valtuutukseen NS-tasolla, ja akkreditointiprosessin kuluttavan 15–20 % tiimin kokonaisohjelmatyöstä.

Käyttöönottokuviot monitasoisille sovelluksille

Hallitseva arkkitehtuurikuvio monitasoiselle NATO-ohjelmistolle on tasoitettu rele: yksi looginen sovellus erillisillä käyttöönotoilla kullakin luokitustasolla, yhteydessä hyväksyttyihin CDS:iin kontrolloidun tietojenvaihdon varten. Jokainen tasokohtainen käyttöönotto on itsenäinen akkreditoitu järjestelmä, vaikka se ajaa samaa koodia. Yhteisiin komponentteihin tehdyt muutokset on uudelleenkelpoistettava jokaisen tason akkreditointipaketissa ennen käyttöönottoa.

Tietojen puhdistus ennen tasojen välistä alentamista on tämän kuvion teknisesti monimutkaisin elementti. Raportointisovellus, joka kokoaa NS-operatiivisia tietoja jaettavaksi NU-verkoihin, on toteutettava puhdistustyönkulku, joka poistaa luokitellut kentät, poistaa upotetut metatiedot (EXIF-tiedot kuvissa, tekijätiedot asiakirjoissa, GPS-koordinaatit anturilokissa), muuntaa tiedot muotoihin, joihin ei voi upottaa luokiteltua tietoa, ja kirjaa jokaisen siirron riittävällä tarkastustarkkuudella rekonstruoimaan jokaisen rajan ylittäneen kohteen provenienssin.

Automaattinen puhdistus voi käsitellä rakenteellisia tietoja (tietokantarekisterit, joissa on määriteltyjen kenttien luokitukset), mutta se on riittämätöntä strukturoimattomille tiedoille (luonnollisen kielen asiakirjat, kuvat, ääni). Strukturoimattomien tietojen alentamisessa ihmisen tarkistusvaihe — koulutettu luokitusarvioija tarkistaa puhdistetun tuloksen ennen rajan ylittämistä — on tyypillisesti akkreditointiviranomaisten vaatima. Ohjelmisto voi avustaa arvioijaa (korostaa todennäköisesti luokiteltuja kohtia, merkitä kuvat, joissa on laitteita tai henkilöstöä), mutta tarkistuspäätöksen on oltava nimetyn, vastuullisen henkilön tekemä.

Toimittajille, joiden tuotteet integroituvat nollaluottamusarkkitehtuureihin NATO-ympäristöissä, tasorakenne lisää dimension tavalliseen nollaluottamusmalliin: identiteetin, laitteen asennon ja pyyntökontekstin varmentamisen lisäksi politiikkamoottori on myös valvottava tietojen luokitukseen perustuvaa pääsynhallintaa — varmistaen, että NS-tasolla todennettu käyttäjä ei tahattomasti exfiltroi NS-tietoja NU-tasolla tarjotun sovellusliittymän kautta. Tämä edellyttää luokitusmerkintöjen liittämistä tietoobjekteihin niiden tallennushetkellä ja niiden valvontaa koko sovelluspinossa mukaan lukien välimuistit, jonot ja väliaikaiset tallennukset.

Mitä tämä tarkoittaa puolustuksen ohjelmistotoimittajille

NATO:n tasorakenne ei ole abstrakti vaatimustenmukaisuuskehys — se on joukko kovia tekniikkarajoitteita, jotka määrittävät mitä voi rakentaa, kuinka nopeasti sen voi ottaa käyttöön ja miten jokainen tietovirta on arkkitehtuurisuunniteltava. Toimittajat, jotka kohtelevat sitä tarkistuslistatehtävänä, löytävät sen vaikutukset myöhään, kun korjaus on kallista.

Tärkeimmät käytännön toimenpiteet ovat: määritä kohdistason arkkitehtuurisuunnittelun alussa, ei kehityksen jälkeen; ota yhteyttä NATO SAA:han tai kansalliseen DAA:han esiakkreditointineuvotteluissa ennen virallisen paketin lähettämistä; rakenna CDS-liityntäsuunnittelusi rinnakkain sovelluksen suunnittelun kanssa, ei sen jälkeen; ja kohtele akkreditoinnin ylläpitoa jatkuvana tekniikkatoimintona, ei kertaluonteisena ohjelmavaiheena.

Tuotteille kuten Corvus Quantum, jotka suoratoistavat luokiteltuja tietoja NATO-verkkojen kautta tai niissä, tasoarkkitehtuuri määrittää koko suoratoistotopologian — enkooderin sijoittelun, CDS-integraatiopisteet, relinoodin turvallisuusvaatimukset ja viivebudjetin, joka on saatavilla CDS-tarkastusylimäärän huomioimisen jälkeen. Nämä eivät ole parametrejä, joita voidaan optimoida jälkikäteen; ne on suunniteltava järjestelmään ensimmäisestä arkkitehtuurikatsauksesta alkaen.

Keskustele projektistasi

Suunnittelemme ja otamme käyttöön suojattua ohjelmistoa NATO:n ja liittolaisten puolustus-ohjelmiin — NATO Unclassified -kaupallisesta pilvestä ilmaraollisiin NATO Secret -käyttöönottoihin ja CDS-integroituihin monitasoisiin arkkitehtuureihin.

Corvus Quantum → Varaa esittely

Tämän analyysin ovat valmistelleet Corvus Intelligencen insinöörit, jotka rakentavat missiokriittistä ohjelmistoa puolustus- ja valtionhallinnon organisaatioille. Lue tiimistämme →

Usein kysytyt kysymykset

Voiko AWS GovCloud isännöidä NATO SECRET -tietoja?

Ei — ei suoraan. AWS GovCloud (US) on akkreditoitu Yhdysvaltojen DoD:n vaikutustaso 5:lle (IL5), joka kattaa Yhdysvaltojen kansallisen turvallisuuden järjestelmät ja CUI-tiedot. NATO SECRET (NS) -luokittelu noudattaa NATO NCIA:n akkreditointiprosesseja, jotka ovat erillisiä FedRAMP- ja DoD IL -kehyksistä. NATO SECRET -tietojen on sijaittava infrastruktuurissa, jonka NATO:n turvallisuusviranomaiset ovat erityisesti akkreditoineet — käytännössä tämä tarkoittaa NATO:n omia laitoksia, kansallisen puolustusministeriön hallinnoimaa suvereenipilveä tai urakoitsijoiden operoimia datakeskuksia, jotka ovat läpäisseet NATO:n INFOSEC-teknisen perustason arvioinnin. Jotkut kansalliset ohjelmat ovat ajaneet kahdenvälisiä järjestelyjä, mutta kaupalliselle GovCloud-palvelulle ei ole olemassa yleistä hyväksyntää NS-tietojen isännöintiin.

Mikä on NATO NCIA:n pilvipalveluluettelo?

NATO:n viestintä- ja tietovirasto (NCIA) hallinnoi NATO:n pilvipalveluluetteloa, joka listaa NATO:n luokitustasoilla hyväksytyt Infrastructure-as-a-Service-, Platform-as-a-Service- ja Software-as-a-Service-tarjoukset. Luettelo erottelee NATO Unclassified (NU)-, NATO Restricted (NR)- ja NATO Confidential/Secret (NC/NS) -tasoille hyväksytyt palvelut. NCIA operoi NATO Hybrid Cloud -järjestelmää, joka yhdistää yksityisesti operoitavan NATO-infrastruktuurin ja alemman luokitustason hyväksytyt kaupalliset palvelut. Luetteloon ja hyväksyttyjen toimittajien listoihin pääseminen edellyttää yhteydenpitoa kansallisten edustustojen kautta tai suoraan NCIA:n hankintakanavien kautta.

Kuinka kauan NATO-pilven akkreditointi kestää?

NATO:n turvallisuusakkreditoinnin aikataulu riippuu suuresti luokitustasosta ja laajuudesta. NATO Unclassified -järjestelmille, jotka käyttävät jo hyväksyttyjä kaupallisia palveluita, integrointi ja hyväksyntä voi kestää 3–6 kuukautta. NATO Restricted tai NATO Confidential -järjestelmille akkreditointipaketti — mukaan lukien järjestelmän turvallisuussuunnitelma, riskiarviointi ja INFOSEC-teknisen perustason todisteet — vaatii tyypillisesti 9–18 kuukautta ensimmäiselle hakemukselle, ja lisäkierroksia jos havaintoja esitetään. NATO Secret -järjestelmät, jotka vaativat omaa infrastruktuuriakkreditointia, voivat kestää 2–4 vuotta uudelle laitokselle tai alustalle. Toimittajien tulisi ottaa yhteyttä NATO:n turvallisuusakkreditointiviranomaiseen (SAA) varhaisessa vaiheessa ohjelmaelinkaaressa, ei kehityksen lopussa.

Mikä on toimialueiden välinen ratkaisu ja milloin se vaaditaan?

Toimialueiden välinen ratkaisu (CDS) on laitteiston ja ohjelmiston yhdistelmä, joka valvoo tietoturvaperiaatetta siirrettäessä tietoja eri luokitustasojen verkkojen välillä. CDS vaaditaan aina, kun tietojen on virrattava korkeamman luokituksen verkosta (esim. NATO Secret) alempaan luokituksen verkkoon (esim. NATO Unclassified), tai päinvastaiseen suuntaan asianmukaisen puhdistuksen ja salassapidon poistamisen kera. CDS-komponentteja ovat vahtilaitteet (kaksisuuntaiset suodatinlaitteet), datadiodit (laitteistolla pakotetut yksisuuntaiset siirrot massasiirtoa varten) ja protokollakatkot (estävät suorat TCP-istunnot ylittämästä rajaa). Kaikkien NATO-ympäristöissä käytettyjen CDS-komponenttien on oltava NCIA:n hyväksyttyjen tuotteiden listalla tai niiden on saatava kansallisen viranomaisen hyväksyntä, jonka NATO hyväksyy.

Mitkä ovat fyysisen erottelun vaatimukset NATO-pilviportaiden välillä?

Fyysisen erottelun vaatimukset kasvavat luokitustason mukaan. NATO Unclassified -infrastruktuuri voi jakaa laitteiston ei-NATO-järjestelmien kanssa käyttämällä loogista erottelua (VLAN, VPC, vuokralaiseneristys). NATO Restricted vaatii tyypillisesti loogisen erottelun kaupallisista kuormista, mutta voi jakaa fyysistä infrastruktuuria kontrolloidussa laitoksessa. NATO Confidential ja NATO Secret vaativat fyysisesti erilliset palvelimet, tallennustilan ja verkotuksen NATO-akkreditoidussa laitoksessa — fyysisen infrastruktuurin jakaminen alemman luokituksen tai kaupallisten kuormien kanssa ei ole sallittua. NATO Top Secret (CTS) ja sitä korkeammat tasot vaativat SCIF-vastaavaa fyysistä turvallisuutta tarkasti kontrolloidulla henkilöstön pääsyllä, sähkömagneettisella suojauksella, ja useimmissa tapauksissa täydellä ilmarakolla kaikista ulkoisista verkoista mukaan lukien muut luokitellut verkot.