Poziomy chmury NATO: architektura infrastruktury jawnej, tajnej i ściśle tajnej

Autor: Zespół inżynierów Corvus Intelligence · O zespole →

4 czerwca 2026 9 min czytania

Ramy klasyfikacji NATO dzielą informacje na cztery poziomy — NATO Unclassified (NU), NATO Restricted (NR), NATO Confidential (NC) oraz NATO Secret (NS) — przy czym Cosmic Top Secret (CTS) znajduje się ponad nimi wszystkimi dla najbardziej wrażliwych informacji sojuszniczych. Każdy poziom narzuca odrębne wymagania dotyczące infrastruktury, personelu i procesów. Oprogramowanie działające na więcej niż jednym poziomie nie może traktować klasyfikacji jako kwestii drugorzędnej; model poziomów to nośna architektura systemu.

Dla dostawców oprogramowania obronnego zrozumienie, jak te poziomy odwzorowują się na infrastrukturę fizyczną, architekturę sieci, systemy tożsamości i procesy akredytacyjne, nie jest opcjonalne. Produkt certyfikowany wyłącznie dla środowisk NATO Unclassified nie zostanie zaakceptowany do operacji NATO Secret, niezależnie od jego możliwości technicznych. I odwrotnie — nadmierne przeprojektowanie systemu do standardów Secret, gdy wystarcza Unclassified, generuje zbędne koszty i ryzyko harmonogramowe. Prawidłowe odwzorowanie poziomów od samego początku jest najbardziej znaczącą decyzją architektoniczną w programie NATO.

Model poziomów klasyfikacji NATO

Polityka bezpieczeństwa NATO, regulowana przez C-M(2002)49 i jej dokumenty następcze, definiuje poziomy klasyfikacji jako wskaźniki szkody, jaką spowodowałoby nieuprawnione ujawnienie. Praktyczne implikacje infrastrukturalne każdego poziomu są znaczące:

NATO Unclassified (NU) obejmuje informacje przeznaczone do publicznego udostępnienia oraz wewnętrzne dane administracyjne, które nie wymagają ochrony wykraczającej poza standardową higienę IT. Systemy NU mogą korzystać z komercyjnych usług chmurowych, współdzielonej infrastruktury i standardowych sieci podłączonych do internetu. Katalog usług chmurowych NCIA wymienia zatwierdzone usługi komercyjne dla obciążeń NU. Ten poziom jest z grubsza analogiczny do amerykańskiej sieci DoD NIPR (Non-classified Internet Protocol Router).

NATO Restricted (NR) to klasyfikacja średniego poziomu dla informacji, których ujawnienie byłoby niekorzystne dla interesów NATO. NR nie jest powszechnie stosowane we wszystkich państwach NATO — kilka państw członkowskich nie posiada krajowego odpowiednika Restricted. Infrastruktura dla obciążeń NR musi znajdować się w kontrolowanych obiektach z ograniczeniami dostępu, ale może współdzielić sprzęt fizyczny z innymi obciążeniami NR z różnych państw przy zastosowaniu kontroli rozdzielenia logicznego.

NATO Confidential (NC) obejmuje informacje, których ujawnienie zaszkodziłoby interesom NATO. Systemy NC wymagają dedykowanych środowisk logicznych, zatwierdzonych systemów kryptograficznych (zazwyczaj z katalogu zatwierdzonego przez NCIA) oraz personelu z minimalnym poświadczeniem bezpieczeństwa. NC jest z grubsza analogiczne do amerykańskiej sieci SIPR (Secret Internet Protocol Router) w dolnej części zakresu.

NATO Secret (NS) to podstawowa klasyfikacja operacyjna dla wrażliwego planowania sojuszniczego, danych wywiadowczych i operacyjnych. Infrastruktura NS musi być fizycznie oddzielona od NC i poziomów niższych — oddzielne serwery, oddzielna pamięć masowa, oddzielna sieć. Dostęp personelu wymaga poświadczenia NATO Secret oraz zasady wiedzy koniecznej (need-to-know). Większość taktycznego i operacyjnego oprogramowania NATO działa na poziomie NS. Amerykańskim odpowiednikiem jest SECRET w SIPR lub IL5/IL6 w kontekście chmurowym.

Cosmic Top Secret (CTS) i jego specjalne zastrzeżenia (CTS/ATOMAL, CTS/BOHEMIA itp.) wymagają fizycznego bezpieczeństwa na poziomie odpowiednika SCIF, pełnego odizolowania (air-gap) od sieci zewnętrznych, w tym NS, oraz ściśle ograniczonych grup personelu. Systemy CTS są obsługiwane wyłącznie w obiektach kontrolowanych przez NATO lub akredytowanych krajowo. Żadna oferta chmury komercyjnej, choćby najlepiej akredytowana, nie kwalifikuje się do CTS.

Kluczowy wniosek: Najbardziej istotne operacyjnie systemy NATO działają na poziomie NS. Dostawcy celujący w kluczowe programy C2, ISR i logistyczne sojuszu muszą projektować architekturę z myślą o NS od pierwszego dnia — dostosowywanie mechanizmów bezpieczeństwa NS do systemu zaprojektowanego dla NU jest rzadko wykonalne bez niemal całkowitej przebudowy warstw tożsamości, kryptografii i przetwarzania danych.

Wymagania dotyczące fizycznego rozdzielenia na każdym poziomie

Wymagania dotyczące fizycznego rozdzielenia są najbardziej konkretnym wyrazem poziomów klasyfikacji i wpływają na koszty infrastruktury bardziej niż jakikolwiek inny czynnik.

Na poziomie NATO Unclassified dozwolona jest współdzielona infrastruktura fizyczna. Obciążenie NU może działać w wielonajemczym komercyjnym centrum danych chmurowych obok najemców spoza NATO, pod warunkiem że usługa chmurowa znajduje się na liście zatwierdzonej przez NCIA, a izolacja logiczna (VPC, przestrzeń nazw, rozdzielenie najemców) jest poprawnie skonfigurowana. To czyni NU jedynym poziomem, na którym hiperskalowa chmura komercyjna jest realną opcją bez kontroli na poziomie obiektu.

Na poziomach NATO Restricted i Confidential infrastruktura fizyczna musi znajdować się w obiekcie akredytowanym przez NATO lub zatwierdzonym krajowo odpowiedniku. Sprzęt serwerowy, pamięci masowej i sieciowy musi być dedykowany obciążeniom NATO — nie może być współdzielony z najemcami komercyjnymi ani obciążeniami rządowymi spoza NATO. W obrębie obiektu akredytowanego przez NATO systemy NR i NC mogą współdzielić sprzęt przy ścisłym rozdzieleniu logicznym, ale sam obiekt zapewnia fizyczną granicę bezpieczeństwa.

Na poziomie NATO Secret fizyczne rozdzielenie staje się bardziej bezwzględne. Serwery, pamięć masowa i sieć NS muszą znajdować się na dedykowanym sprzęcie, który nie jest współdzielony z obciążeniami NC ani NR. Sprzęt musi znajdować się w obiekcie spełniającym wymagania NATO TEMPEST (ochrona przed emanacją elektromagnetyczną), z dostępem kontrolowanym strefowo i monitoringiem CCTV serwerowni. Przenośne nośniki danych używane w środowiskach NS muszą być śledzone, kontrolowane i obsługiwane zgodnie z procedurami NATO COMSEC (bezpieczeństwo łączności).

Na poziomie Cosmic Top Secret wymagania dotyczące bezpieczeństwa fizycznego zbliżają się do tych obowiązujących w krajowym obiekcie wywiadowczym: pełne standardy konstrukcyjne SCIF, dostęp personelu poprzez dwuskładnikowe systemy biometryczne lub kartowe, ekranowanie Faradaya oraz brak łączności sieciowej z systemami zewnętrznymi — w tym z innymi sieciami niejawnymi — bez zatwierdzonego CDS.

Opcje obliczeniowe według poziomu

Komercyjna i GovCloud (NATO Unclassified). Obciążenia NU mogą być wdrażane na komercyjnych platformach hiperskalowych (AWS, Azure, GCP) przy użyciu ofert usług zatwierdzonych przez NCIA. Dla państw członkowskich NATO posiadających krajowe wymagania suwerenności preferowane są krajowe platformy chmurowe obsługiwane przez zatwierdzonych dostawców. NCIA Hybrid Cloud zapewnia zarządzane środowisko NU dla własnych systemów administracyjnych i publicznych NATO.

Suwerenna chmura i dedykowana dzierżawa (NATO Restricted / Confidential). Praktycznymi opcjami obliczeniowymi dla obciążeń NR/NC są wdrożenia chmury suwerennej — krajowo obsługiwana infrastruktura chmurowa działająca na zatwierdzonym sprzęcie w kontrolowanych obiektach — lub dedykowane środowiska chmury prywatnej w centrach danych akredytowanych przez NATO. Kilka państw NATO ustanowiło krajowe programy chmury obronnej: brytyjskie MOD Managed Cloud Services, francuski Cloud au Centre (SFT3) oraz niemiecki program chmurowy Bundeswehr Informationstechnik GmbH (BWI). Platformy te zostały zaprojektowane specjalnie do przechowywania danych NR/NC i przeszły akredytację krajową.

Odizolowana suwerenna infrastruktura (NATO Secret). Obliczenia NS działają na infrastrukturze air-gapped — fizycznie izolowanych serwerach bez zewnętrznej łączności sieciowej. Wdrażanie oprogramowania do środowisk NS odbywa się za pośrednictwem akredytowanych nośników (zaszyfrowany USB, dysk optyczny lub dedykowana stacja transferowa) poprzez CDS. Orkiestracja kontenerów na poziomie NS zazwyczaj wykorzystuje utwardzoną dystrybucję Kubernetes wdrożoną na sprzęcie typu bare-metal lub prywatnym hypervisorze, bez łączności z zewnętrznymi rejestrami ani kanałami aktualizacji. Wszystkie obrazy kontenerów muszą być wstępnie pobrane, zweryfikowane i załadowane do odizolowanych rejestrów przed wdrożeniem.

Kluczowy wniosek: Zarządzanie łańcuchem dostaw obrazów kontenerów jest jednym z najtrudniejszych wyzwań operacyjnych na poziomie NS. Dostawcy wdrażający skonteneryzowane aplikacje do środowisk NATO Secret muszą utrzymywać pełny wykaz materiałów oprogramowania (SBOM), wstępnie kwalifikować wszystkie obrazy bazowe poprzez proces przeglądu obrazów obiektu i zaakceptować, że cykle aktualizacji liczone w dniach w środowiskach komercyjnych będą liczone w tygodniach lub miesiącach na poziomie NS.

Architektura sieci i rozwiązania cross-domain

Definiującym wyzwaniem sieciowym w wielopoziomowym wdrożeniu NATO jest kontrola przepływu danych przez granice klasyfikacji. Dane powstające na poziomie NS nie mogą przepływać do sieci NU bez przejścia przez zatwierdzone rozwiązanie cross-domain. CDS egzekwuje politykę bezpieczeństwa na granicy — nie jest to po prostu firewall, lecz wyspecjalizowane urządzenie stosujące reguły inspekcji treści, walidacji danych i transformacji formatów zdefiniowane w pakiecie akredytacyjnym systemu.

Urządzenia typu guard to dwukierunkowe urządzenia filtrujące, które pozwalają zatwierdzonym typom danych przepływać między poziomami pod określonymi warunkami. Guard może zezwalać na przepływ zsanityzowanych danych z czujników z NS do NU w celu szerszej dystrybucji, blokując jednocześnie wszelki przepływ danych planistycznych lub wywiadowczych. Guardy wymagają szczegółowej polityki filtrowania treści zatwierdzonej przez organ akredytacyjny, a sama polityka staje się artefaktem bezpieczeństwa, który musi podlegać kontroli wersji i audytowi.

Diody danych to sprzętowo egzekwowane urządzenia transferu jednokierunkowego — fizycznie zawierają wyłącznie nadajnik po stronie wysokiej i wyłącznie odbiornik po stronie niskiej, co uniemożliwia przepływ danych w zabronionym kierunku. Diody danych są używane do transferu masowego z poziomu wysokiego na niski (np. przesyłanie zsanityzowanych logów taktycznych z NS do NU w celu analizy), gdzie komunikacja dwukierunkowa nie jest wymagana. Produkty takie jak Owl Cyber Defense DualDiode oraz Waterfall Security Unidirectional Security Gateways są powszechne we wdrożeniach równoważnych NATO.

Przerwania protokołów zapobiegają rozciąganiu się bezpośrednich sesji TCP/IP przez granice klasyfikacji. Nawet tam, gdzie guard zezwala na przepływ danych, połączenie musi zostać zakończone na guardzie i ponownie zainicjowane po drugiej stronie — żadna sesja end-to-end nie może przekroczyć granicy poziomu. Ma to znaczące implikacje dla aplikacji czasu rzeczywistego: strumieniowe wideo, głos i strumienie z czujników przekraczające granicę z NS do NU muszą zostać ponownie zakodowane i ponownie przesłane na guardzie, co wprowadza opóźnienie i wymaga negocjacji formatu.

W przypadku Corvus Quantum, który zapewnia bezpieczne strumieniowanie wideo i danych w środowiskach obronnych, wdrożenia wielopoziomowe wymagają, aby potok strumieniowania był zaimplementowany jako wielopoziomowy przekaźnik — koder NS zasila zatwierdzony CDS, który ponownie inicjuje zsanityzowany strumień po stronie NU. Protokół strumieniowania musi być zgodny z CDS (zazwyczaj UDP o stałej strukturze pakietów, którą filtry treści guarda potrafią przeanalizować), a nie stanowym protokołem sesji wymagającym TCP end-to-end.

Zarządzanie tożsamością i dostępem na różnych poziomach

Każdy poziom klasyfikacji utrzymuje własną kotwicę zaufania PKI (Public Key Infrastructure), a certyfikaty z PKI niższego poziomu nie są automatycznie zaufane w środowisku o wyższym poziomie. Na poziomie NATO Unclassified akceptowalne może być standardowe komercyjne PKI lub krajowe rządowe PKI. Na poziomie NATO Secret infrastrukturą tożsamości jest NATO PKI — dedykowany urząd certyfikacji obsługiwany przez NCIA, który wydaje certyfikaty kartom inteligentnym (tokeny NATO CIS) rozprowadzanym wśród personelu z poświadczeniami NS.

Praktyczną konsekwencją dla aplikacji wielopoziomowych jest to, że użytkownik pracujący na różnych poziomach musi posiadać oddzielne tożsamości i oddzielne tokeny sprzętowe dla każdego poziomu. System, który próbuje współdzielić jedną tożsamość między NU a NS, nie jest akredytowalny. Aplikacje muszą implementować oddzielne przepływy uwierzytelniania dla każdego poziomu, bez przekraczania granicy poziomu przez jakikolwiek token sesji lub materiał poświadczający.

Uwierzytelnianie wieloskładnikowe jest obowiązkowe na wszystkich poziomach powyżej NU. Na poziomach NC/NS standardem jest uwierzytelnianie oparte na certyfikatach przy użyciu tokenu sprzętowego (karta inteligentna PKI) plus PIN — biometria może uzupełniać, ale nie może zastąpić czynnika certyfikatu. Uwierzytelnianie wyłącznie hasłem nie jest akceptowane na żadnym poziomie niejawnym. W przypadku aplikacji webowych wdrażanych w środowiskach NS bazową normą jest wzajemne TLS z uwierzytelnianiem certyfikatem klienta, bez wyjątków dla kont deweloperskich lub usługowych.

Zarządzanie dostępem uprzywilejowanym na poziomie NS zazwyczaj wymaga serwerów pośredniczących (uprzywilejowane stacje robocze dostępu, PAW), które są fizycznie i logicznie izolowane od standardowych stacji roboczych użytkowników, przy czym wszystkie sesje uprzywilejowane są rejestrowane i podlegają audytowi. Samo środowisko PAW musi być częścią akredytowanej granicy systemu.

Certyfikacja oprogramowania i proces akredytacji NATO

Oprogramowanie działające na poziomie NC lub NS musi być certyfikowane poprzez proces akredytacji bezpieczeństwa NATO, zarządzany przez NATO Security Accreditation Authority (SAA) — organ w ramach NCIA odpowiedzialny za zatwierdzanie systemów do działania w sieciach NATO. Proces akredytacji opiera się na NATO INFOSEC Technical Baseline (ITB), zestawie wymagań bezpieczeństwa obejmujących kontrolę dostępu, kryptografię, audyt, zarządzanie podatnościami i zarządzanie konfiguracją.

Pakiet akredytacyjny obejmuje System Security Plan (SSP) dokumentujący granicę systemu, przepływy danych i mechanizmy kontroli bezpieczeństwa; ocenę ryzyka mapującą ryzyka rezydualne do ITB; Configuration Management Plan; oraz Incident Response Plan. W przypadku oprogramowania wdrażanego w obiektach krajowych na podstawie umów dwustronnych krajowy Designated Accreditation Authority (DAA) — równoważne role istnieją w Wielkiej Brytanii (DSO), Niemczech (BSI), Francji (ANSSI) i innych państwach członkowskich — może przeprowadzić akredytację zamiast NATO SAA, ale stosowane standardy muszą spełniać lub przewyższać ITB.

Dostawcy powinni planować wiele cykli akredytacji. Początkowa akredytacja zazwyczaj obejmuje pierwsze złożenie, raport z uwagami od SAA, okres usuwania uchybień oraz ponowne złożenie — pełny cykl rutynowo trwa od 12 do 24 miesięcy dla systemów NS. Każde większe wydanie oprogramowania, które zmienia granicę systemu, wprowadza nowe przepływy danych lub modyfikuje implementacje kryptograficzne, może wywołać częściową ponowną akredytację. Wbudowanie utrzymania akredytacji w cykl życia rozwoju produktu — a nie traktowanie jej jako jednorazowego zdarzenia — jest niezbędne dla programów o wieloletnich horyzontach operacyjnych.

Kluczowy wniosek: Harmonogram akredytacji NATO jest najczęściej niedoszacowanym ryzykiem harmonogramowym w sojuszniczych programach oprogramowania. Dostawcy wchodzący w swój pierwszy program NATO powinni zaplanować 18 miesięcy od pierwszego złożenia SSP do uzyskania operacyjnego upoważnienia do działania na poziomie NS i powinni spodziewać się, że proces akredytacji pochłonie 15–20% całkowitego nakładu inżynieryjnego programu w skali zespołu.

Wzorce wdrożeniowe dla aplikacji wielopoziomowych

Dominującym wzorcem architektonicznym dla wielopoziomowego oprogramowania NATO jest wielopoziomowy przekaźnik: pojedyncza logiczna aplikacja z oddzielnymi wdrożeniami na każdym poziomie klasyfikacji, połączonymi zatwierdzonym CDS w celu kontrolowanej wymiany danych. Każde wdrożenie specyficzne dla poziomu jest niezależnym akredytowanym systemem, nawet jeśli działa na tej samej bazie kodu. Zmiany we współdzielonych komponentach muszą być ponownie kwalifikowane w pakiecie akredytacyjnym każdego poziomu przed wdrożeniem.

Sanityzacja danych przed obniżeniem klasyfikacji między poziomami jest najbardziej złożonym technicznie elementem tego wzorca. Aplikacja raportująca, która agreguje dane operacyjne NS do dystrybucji w sieciach NU, musi implementować przepływ sanityzacji, który usuwa pola niejawne, usuwa osadzone metadane (dane EXIF w obrazach, informacje o autorze w dokumentach, współrzędne GPS w logach czujników), konwertuje dane do formatów, które nie mogą przenosić osadzonych informacji niejawnych, oraz rejestruje każdy transfer z wystarczającą szczegółowością audytową, aby odtworzyć pochodzenie każdego elementu, który przekroczył granicę.

Automatyczna sanityzacja może obsłużyć dane ustrukturyzowane (rekordy bazy danych ze zdefiniowanymi klasyfikacjami pól), ale jest niewystarczająca dla danych nieustrukturyzowanych (dokumenty w języku naturalnym, obrazy, audio). W przypadku obniżania klasyfikacji danych nieustrukturyzowanych organy akredytacyjne zazwyczaj wymagają etapu przeglądu przez człowieka — przeszkolonego recenzenta klasyfikacji sprawdzającego zsanityzowane dane wyjściowe przed przekroczeniem granicy. Oprogramowanie może wspomagać recenzenta (podświetlając prawdopodobne fragmenty niejawne, oznaczając obrazy zawierające sprzęt lub personel), ale decyzja o przeglądzie musi być przypisywalna do imiennej, odpowiedzialnej osoby.

Dla dostawców, których produkty integrują się z architekturami zero-trust w środowiskach NATO, model poziomów dodaje wymiar do standardowego modelu zero-trust: oprócz weryfikacji tożsamości, stanu urządzenia i kontekstu żądania silnik polityki musi również egzekwować kontrole dostępu oparte na klasyfikacji danych — zapewniając, że użytkownik uwierzytelniony na poziomie NS nie może przypadkowo wyprowadzić danych NS przez interfejs aplikacji udostępniony na poziomie NU. Wymaga to dołączania etykiet klasyfikacji do obiektów danych w punkcie pobierania i egzekwowania ich w całym stosie aplikacji, w tym w pamięciach podręcznych, kolejkach i pamięci tymczasowej.

Co to oznacza dla dostawców oprogramowania obronnego

Model poziomów NATO nie jest abstrakcyjnymi ramami zgodności — to zestaw twardych ograniczeń inżynieryjnych, które określają, co możesz zbudować, jak szybko możesz to wdrożyć i jak musisz zaprojektować każdy przepływ danych. Dostawcy, którzy traktują go jako ćwiczenie z zaznaczania pól, odkrywają jego implikacje późno, gdy usuwanie uchybień jest najdroższe.

Najważniejsze praktyczne kroki to: zdefiniuj docelowy poziom na początku projektowania architektury, a nie po zakończeniu rozwoju; zaangażuj NATO SAA lub krajowy DAA w konsultacje przedakredytacyjne przed złożeniem formalnego pakietu; buduj projekt interfejsu CDS równolegle z projektem aplikacji, a nie po nim; oraz traktuj utrzymanie akredytacji jako ciągłą funkcję inżynieryjną, a nie jednorazowy kamień milowy programu.

W przypadku produktów takich jak Corvus Quantum, które strumieniują dane niejawne przez sieci NATO lub w ich obrębie, architektura poziomów definiuje całą topologię strumieniowania — rozmieszczenie koderów, punkty integracji CDS, wymagania bezpieczeństwa węzłów przekaźnikowych oraz budżet opóźnień dostępny po uwzględnieniu narzutu inspekcji CDS. Nie są to parametry, które można zoptymalizować po fakcie; muszą być zaprojektowane w systemie od pierwszego przeglądu architektury.

Omów swój projekt

Projektujemy i wdrażamy bezpieczne oprogramowanie dla programów obronnych NATO i państw sojuszniczych — od komercyjnej chmury NATO Unclassified po odizolowane (air-gapped) wdrożenia NATO Secret oraz wielopoziomowe architektury zintegrowane z CDS.

Corvus Quantum → Umów odprawę

Tę analizę przygotowali inżynierowie Corvus Intelligence, którzy budują oprogramowanie o znaczeniu krytycznym dla organizacji obronnych i rządowych. Poznaj nasz zespół →

Najczęściej zadawane pytania

Czy AWS GovCloud może hostować dane NATO SECRET?

Nie — nie bezpośrednio. AWS GovCloud (US) jest akredytowany dla US DoD Impact Level 5 (IL5), który obejmuje amerykańskie systemy bezpieczeństwa narodowego oraz CUI. Klasyfikacja NATO SECRET (NS) podlega procesom akredytacyjnym NATO NCIA, które są odrębne od ram FedRAMP i DoD IL. Dane NATO SECRET muszą znajdować się w infrastrukturze specjalnie akredytowanej przez organy bezpieczeństwa NATO, co zazwyczaj oznacza obiekty należące do NATO, suwerenną chmurę kontrolowaną przez krajowe MON lub centra danych obsługiwane przez wykonawców, które przeszły ocenę NATO INFOSEC Technical Baseline. Niektóre programy krajowe podejmowały ustalenia dwustronne, ale nie istnieje ogólne zatwierdzenie komercyjnej GovCloud jako hosta dla danych NS.

Czym jest katalog usług chmurowych NATO NCIA?

NATO Communications and Information Agency (NCIA) zarządza katalogiem usług chmurowych NATO (NATO Cloud Service Catalogue), który wymienia oferty Infrastructure-as-a-Service, Platform-as-a-Service oraz Software-as-a-Service zatwierdzone do użytku na różnych poziomach klasyfikacji NATO. Katalog rozróżnia usługi zatwierdzone dla NATO Unclassified (NU), NATO Restricted (NR) oraz NATO Confidential/Secret (NC/NS). NCIA obsługuje NATO Hybrid Cloud, połączenie prywatnie obsługiwanej infrastruktury NATO i zatwierdzonych usług komercyjnych dla poziomów o niższej klasyfikacji. Dostęp do katalogu i list zatwierdzonych dostawców wymaga współpracy poprzez delegacje krajowe lub bezpośrednie kanały zakupowe NCIA.

Jak długo trwa akredytacja chmury NATO?

Harmonogramy akredytacji bezpieczeństwa NATO w dużym stopniu zależą od poziomu klasyfikacji i zakresu. W przypadku systemów NATO Unclassified korzystających z już zatwierdzonych usług komercyjnych integracja i zatwierdzenie mogą zająć od 3 do 6 miesięcy. W przypadku systemów NATO Restricted lub NATO Confidential pakiet akredytacyjny — obejmujący System Security Plan, ocenę ryzyka oraz dowody INFOSEC Technical Baseline — zazwyczaj wymaga od 9 do 18 miesięcy na pierwsze złożenie, z cyklami iteracji w razie zgłoszenia uwag. Systemy NATO Secret wymagające akredytacji dedykowanej infrastruktury mogą zająć od 2 do 4 lat dla nowego obiektu lub platformy. Dostawcy powinni angażować NATO Security Accreditation Authority (SAA) na wczesnym etapie cyklu życia programu, a nie pod koniec rozwoju.

Czym jest rozwiązanie cross-domain i kiedy jest wymagane?

Rozwiązanie cross-domain (CDS) to połączenie sprzętu i oprogramowania, które egzekwuje politykę bezpieczeństwa informacji podczas przesyłania danych między sieciami o różnych poziomach klasyfikacji. CDS jest wymagany za każdym razem, gdy dane muszą przepływać z sieci o wyższej klasyfikacji (np. NATO Secret) do sieci o niższej klasyfikacji (np. NATO Unclassified) lub w odwrotnym kierunku z odpowiednią sanityzacją i odtajnieniem. Komponenty CDS obejmują urządzenia typu guard (dwukierunkowe urządzenia filtrujące), diody danych (jednokierunkowe przepływy egzekwowane sprzętowo do transferu masowego) oraz przerwania protokołów (zapobiegające bezpośredniemu przekraczaniu granicy przez sesje TCP). Wszystkie komponenty CDS używane w środowiskach NATO muszą znajdować się na liście produktów zatwierdzonych przez NCIA lub posiadać zatwierdzenie organu krajowego akceptowane przez NATO.

Jakie są wymagania dotyczące fizycznego rozdzielenia między poziomami chmury NATO?

Wymagania dotyczące fizycznego rozdzielenia rosną wraz z poziomem klasyfikacji. Infrastruktura NATO Unclassified może współdzielić sprzęt z systemami spoza NATO przy zastosowaniu rozdzielenia logicznego (VLAN-y, VPC, izolacja najemców). NATO Restricted zazwyczaj wymaga rozdzielenia logicznego od obciążeń komercyjnych, ale może współdzielić infrastrukturę fizyczną w kontrolowanym obiekcie. NATO Confidential i NATO Secret wymagają fizycznie oddzielnych serwerów, pamięci masowej i sieci w obiekcie akredytowanym przez NATO — współdzielenie infrastruktury fizycznej z obciążeniami o niższej klasyfikacji lub komercyjnymi jest niedozwolone. NATO Top Secret (CTS) i wyżej wymagają fizycznego bezpieczeństwa na poziomie odpowiednika SCIF z rygorystycznie kontrolowanym dostępem personelu, ekranowaniem elektromagnetycznym, a w większości przypadków pełnym odizolowaniem (air-gap) od jakiejkolwiek sieci zewnętrznej, w tym innych sieci niejawnych.