Niveluri cloud NATO: arhitectura infrastructurii unclassified, secret și top secret

De Echipa de inginerie Corvus Intelligence · Despre echipă →

4 iunie 2026 9 min de lectură

Cadrul de clasificare al NATO împarte informația în patru benzi — NATO Unclassified (NU), NATO Restricted (NR), NATO Confidential (NC) și NATO Secret (NS) — cu Cosmic Top Secret (CTS) situat deasupra tuturor pentru cele mai sensibile informații ale alianței. Fiecare bandă impune cerințe distincte de infrastructură, personal și proces. Software-ul care operează pe mai multe niveluri nu poate trata clasificarea ca pe o reflecție ulterioară; modelul de niveluri este arhitectură de rezistență.

Pentru furnizorii de software de apărare, înțelegerea modului în care aceste niveluri se mapează la infrastructura fizică, arhitectura de rețea, sistemele de identitate și procesele de acreditare nu este opțională. Un produs care este certificat doar pentru mediile NATO Unclassified nu va fi acceptat pentru operațiuni NATO Secret, indiferent de capacitatea sa tehnică. Invers, supra-ingineria unui sistem la standardele Secret atunci când Unclassified este suficient generează costuri inutile și risc de program. Stabilirea corectă a maparii nivelurilor de la început este cea mai consecventă decizie arhitecturală într-un program NATO.

Modelul de niveluri de clasificare NATO

Politica de securitate NATO, guvernată de C-M(2002)49 și de documentele sale succesoare, definește nivelurile de clasificare ca markeri ai prejudiciului pe care l-ar cauza divulgarea neautorizată. Implicațiile practice de infrastructură ale fiecărui nivel sunt semnificative:

NATO Unclassified (NU) acoperă informațiile care pot fi divulgate public și datele administrative interne care nu necesită protecție dincolo de igiena IT standard. Sistemele NU pot folosi servicii cloud comerciale, infrastructură partajată și rețele standard conectate la internet. Catalogul de servicii cloud NCIA listează serviciile comerciale aprobate pentru sarcinile NU. Acest nivel este aproximativ analog cu rețeaua US DoD NIPR (Non-classified Internet Protocol Router).

NATO Restricted (NR) este o clasificare de nivel mediu pentru informațiile care, dacă ar fi divulgate, ar fi dezavantajoase pentru interesele NATO. NR nu este utilizat universal în toate națiunile NATO — mai multe state membre nu au un echivalent intern de Restricted. Infrastructura pentru sarcinile NR trebuie să se afle în facilități controlate cu restricții de acces, dar poate partaja hardware fizic cu alte sarcini NR din națiuni diferite sub controale de separare logică.

NATO Confidential (NC) acoperă informațiile a căror divulgare ar prejudicia interesele NATO. Sistemele NC necesită medii logice dedicate, sisteme criptografice aprobate (de obicei din catalogul aprobat de NCIA) și personal cu o autorizație de securitate minimă. NC este aproximativ analog cu rețeaua US SIPR (Secret Internet Protocol Router) la capătul inferior.

NATO Secret (NS) este clasificarea operațională principală pentru planificarea, informațiile și datele operaționale sensibile ale alianței. Infrastructura NS trebuie să fie separată fizic de NC și mai jos — servere separate, stocare separată, rețele separate. Accesul personalului necesită o autorizație NATO Secret și need-to-know. Majoritatea software-ului tactic și operațional NATO operează la NS. Echivalentul SUA este SECRET pe SIPR sau IL5/IL6 în contextul cloud.

Cosmic Top Secret (CTS) și caveatele sale speciale (CTS/ATOMAL, CTS/BOHEMIA etc.) necesită securitate fizică echivalentă SCIF, air-gap complet față de rețelele externe, inclusiv NS, și grupuri de personal strict limitate. Sistemele CTS sunt operate doar în facilități controlate de NATO sau acreditate la nivel național. Nicio ofertă de cloud comercial, oricât de bine acreditată, nu se califică pentru CTS.

Concluzie cheie: Cele mai consecvente sisteme NATO din punct de vedere operațional rulează la nivel NS. Furnizorii care țintesc programele de bază C2, ISR și logistică ale alianței trebuie să arhitecteze pentru NS din prima zi — adaptarea ulterioară a controalelor de securitate NS la un sistem proiectat pentru NU este rareori fezabilă fără o reconstrucție aproape completă a straturilor de identitate, criptografie și gestionare a datelor.

Cerințele de separare fizică la fiecare nivel

Cerințele de separare fizică sunt cea mai concretă expresie a nivelurilor de clasificare și ele determină costul infrastructurii mai mult decât orice alt factor.

La NATO Unclassified, infrastructura fizică partajată este permisă. O sarcină NU poate rula într-un centru de date cloud comercial multi-tenant alături de tenanți non-NATO, cu condiția ca serviciul cloud să fie pe lista aprobată de NCIA și izolarea logică (VPC, namespace, separare de tenant) să fie configurată corect. Acest lucru face din NU singurul nivel unde cloud-ul comercial hyperscale este o opțiune reală fără controale la nivel de facilitate.

La NATO Restricted și Confidential, infrastructura fizică trebuie să rezideze într-o facilitate acreditată NATO sau într-un echivalent aprobat la nivel național. Hardware-ul de servere, stocare și rețea trebuie să fie dedicat sarcinilor NATO — nu poate fi partajat cu tenanți comerciali sau cu sarcini guvernamentale non-NATO. În cadrul unei facilități acreditate NATO, sistemele NR și NC pot partaja hardware sub separare logică strictă, dar facilitatea în sine oferă granița de securitate fizică.

La NATO Secret, separarea fizică devine mai absolută. Serverele, stocarea și rețelele NS trebuie să fie pe hardware dedicat care nu este partajat cu sarcini NC sau NR. Hardware-ul trebuie să rezideze într-o facilitate care îndeplinește cerințele TEMPEST ale NATO (protejând împotriva emanației electromagnetice), cu acces controlat pe zone și acoperire CCTV a sălilor de servere. Mediile de stocare portabile folosite în mediile NS trebuie urmărite, controlate și manipulate sub procedurile COMSEC (communications security) ale NATO.

La Cosmic Top Secret, cerințele de securitate fizică se apropie de cele ale unei facilități naționale de informații: standarde complete de construcție SCIF, acces al personalului prin sisteme biometrice sau de card cu doi factori, ecranare Faraday și nicio conectivitate de rețea la sisteme externe — inclusiv alte rețele clasificate — fără un CDS aprobat.

Opțiuni de calcul pe niveluri

Comercial și GovCloud (NATO Unclassified). Sarcinile NU pot fi implementate pe platforme comerciale hyperscale (AWS, Azure, GCP) folosind oferte de servicii aprobate de NCIA. Pentru națiunile membre NATO cu cerințe de suveranitate internă, platformele cloud naționale operate de furnizori aprobați sunt preferate. NCIA Hybrid Cloud oferă un mediu NU gestionat pentru sistemele administrative și cu față publică ale NATO.

Cloud suveran și tenancy dedicată (NATO Restricted / Confidential). Opțiunile practice de calcul pentru sarcinile NR/NC sunt implementările de cloud suveran — infrastructură cloud operată la nivel național care rulează pe hardware aprobat în facilități controlate — sau medii private de cloud dedicate în centre de date acreditate NATO. Mai multe națiuni NATO au stabilit programe naționale de cloud de apărare: MOD Managed Cloud Services din Regatul Unit, Cloud au Centre (SFT3) din Franța și programul de cloud Bundeswehr Informationstechnik GmbH (BWI) din Germania. Aceste platforme sunt proiectate special pentru a deține date NR/NC și au trecut prin acreditare națională.

Infrastructură suverană air-gapped (NATO Secret). Calculul NS rulează pe infrastructură air-gapped — servere izolate fizic, fără conectivitate de rețea externă. Implementarea software-ului în mediile NS se face prin medii acreditate (USB criptat, disc optic sau stație de transfer dedicată) printr-un CDS. Orchestrarea containerelor la nivelul NS folosește de obicei o distribuție Kubernetes întărită implementată pe bare-metal sau pe un hypervisor privat, fără conectivitate la registre externe sau canale de actualizare. Toate imaginile de container trebuie pre-descărcate, verificate și încărcate în registre air-gapped înainte de implementare.

Concluzie cheie: Gestionarea lanțului de aprovizionare al imaginilor de container este una dintre cele mai dificile provocări operaționale la nivelul NS. Furnizorii care implementează aplicații containerizate în medii NATO Secret trebuie să mențină un software bill of materials (SBOM) complet, să precalifice toate imaginile de bază prin procesul de revizuire a imaginilor al facilității și să accepte că ciclurile de actualizare măsurate în zile în mediile comerciale vor fi măsurate în săptămâni sau luni la NS.

Arhitectura de rețea și soluțiile cross-domain

Provocarea de rețea definitorie într-o implementare NATO multi-nivel este controlul fluxului de date peste granițele de clasificare. Datele care provin la NS nu pot circula către rețelele NU fără să treacă printr-o soluție cross-domain aprobată. CDS-ul impune politica de securitate la graniță — nu este pur și simplu un firewall, ci un echipament specializat care aplică reguli de inspecție a conținutului, validare a datelor și transformare a formatului definite în pachetul de acreditare al sistemului.

Dispozitivele guard sunt echipamente de filtrare bidirecțională care permit tipurilor de date aprobate să circule între niveluri în condiții definite. Un guard ar putea permite datelor de senzor sanitizate să circule de la NS la NU pentru o distribuție mai largă, blocând în același timp orice flux de date de planificare sau de informații. Guard-urile necesită o politică detaliată de filtrare a conținutului aprobată de autoritatea de acreditare, iar politica în sine devine un artefact de securitate care trebuie controlat de versiune și auditat.

Data diodes sunt dispozitive de transfer unidirecțional impuse hardware — fizic, conțin doar un transmițător pe partea înaltă și doar un receptor pe partea joasă, făcând imposibil ca datele să circule în direcția interzisă. Data diodes sunt folosite pentru transfer în masă de la înalt la jos (de ex. împingerea jurnalelor tactice sanitizate de la NS la NU pentru analiză) unde comunicarea bidirecțională nu este necesară. Produse precum Owl Cyber Defense DualDiode și Waterfall Security Unidirectional Security Gateways sunt comune în implementările echivalente NATO.

Protocol breaks împiedică sesiunile TCP/IP directe să traverseze granițele de clasificare. Chiar și acolo unde un guard permite datelor să circule, conexiunea trebuie să se termine la guard și să fie re-originată pe cealaltă parte — nicio sesiune end-to-end nu este permisă să traverseze o graniță de nivel. Acest lucru are implicații semnificative pentru aplicațiile în timp real: video streaming, voce și fluxuri de senzori care traversează de la NS la NU trebuie re-codificate și re-transmise la guard, introducând latență și necesitând negocierea formatului.

Pentru Corvus Quantum, care oferă streaming securizat de video și date în medii de apărare, implementările multi-nivel necesită ca pipeline-ul de streaming să fie implementat ca un releu pe niveluri — un encoder NS alimentează un CDS aprobat, care re-originează un flux sanitizat pe partea NU. Protocolul de streaming trebuie să fie compatibil CDS (de obicei UDP cu structură fixă de pachet pe care filtrele de conținut ale guard-ului o pot analiza), nu un protocol de sesiune cu stare care necesită TCP end-to-end.

Gestionarea identității și a accesului pe niveluri

Fiecare nivel de clasificare își menține propriul trust anchor PKI (Public Key Infrastructure), iar certificatele dintr-un PKI de nivel inferior nu sunt automat de încredere într-un mediu de nivel superior. La NATO Unclassified, PKI comercial standard sau PKI guvernamental național poate fi acceptabil. La NATO Secret, infrastructura de identitate este PKI-ul NATO — o autoritate de certificare dedicată operată de NCIA care emite certificate către smart carduri (token-uri NATO CIS) distribuite personalului cu autorizații NS.

Consecința practică pentru aplicațiile multi-nivel este că un utilizator care lucrează pe mai multe niveluri trebuie să aibă identități separate și token-uri hardware separate pentru fiecare nivel. Un sistem care încearcă să partajeze o singură identitate între NU și NS nu este acreditabil. Aplicațiile trebuie să implementeze fluxuri de autentificare separate pentru fiecare nivel, fără ca niciun token de sesiune sau material de credențiale să traverseze granița de nivel.

Autentificarea multi-factor este obligatorie la toate nivelurile peste NU. La NC/NS, standardul este autentificarea bazată pe certificat folosind un token hardware (smart card PKI) plus PIN — biometria poate completa, dar nu poate înlocui factorul de certificat. Autentificarea doar cu parolă nu este acceptată la niciun nivel clasificat. Pentru aplicațiile web implementate în mediile NS, mutual TLS cu autentificare cu certificat de client este baza, fără excepții pentru conturile de dezvoltator sau de serviciu.

Gestionarea accesului privilegiat la nivelul NS necesită de obicei jump servers (privileged access workstations, PAW) care sunt izolate fizic și logic de stațiile de lucru standard ale utilizatorilor, cu toate sesiunile privilegiate înregistrate și supuse auditului. Mediul PAW în sine trebuie să facă parte din granița sistemului acreditat.

Certificarea software-ului și procesul de acreditare NATO

Software-ul care operează la nivel NC sau NS trebuie certificat prin procesul de acreditare de securitate al NATO, gestionat de NATO Security Accreditation Authority (SAA) — organismul din cadrul NCIA responsabil de aprobarea sistemelor pentru operare în rețelele NATO. Procesul de acreditare urmează NATO INFOSEC Technical Baseline (ITB), un set de cerințe de securitate care acoperă controlul accesului, criptografia, auditul, gestionarea vulnerabilităților și gestionarea configurației.

Pachetul de acreditare include un System Security Plan (SSP) care documentează granița sistemului, fluxurile de date și controalele de securitate; o evaluare a riscurilor care mapează riscurile reziduale la ITB; un Configuration Management Plan; și un Incident Response Plan. Pentru software-ul implementat în facilități naționale sub acorduri bilaterale, Designated Accreditation Authority (DAA) națională — roluri echivalente există în Regatul Unit (DSO), Germania (BSI), Franța (ANSSI) și alte state membre — poate efectua acreditarea în locul NATO SAA, dar standardele aplicate trebuie să îndeplinească sau să depășească ITB.

Furnizorii ar trebui să planifice mai multe cicluri de acreditare. Acreditarea inițială implică de obicei o primă depunere, un raport de constatări de la SAA, o perioadă de remediere și o re-depunere — ciclul complet durează în mod obișnuit 12–24 de luni pentru sistemele NS. Fiecare lansare majoră de software care schimbă granița sistemului, introduce noi fluxuri de date sau modifică implementările criptografice poate declanșa o re-acreditare parțială. Integrarea mentenanței acreditării în ciclul de viață al dezvoltării produsului — nu tratarea ei ca pe un eveniment unic — este esențială pentru programele cu orizonturi operaționale de mai mulți ani.

Concluzie cheie: Termenul de acreditare NATO este cel mai frecvent subestimat risc de program în programele de software ale alianței. Furnizorii care intră în primul lor program NATO ar trebui să bugeteze 18 luni de la prima depunere a SSP până la autoritatea operațională de a continua la nivel NS și ar trebui să se aștepte ca procesul de acreditare să consume 15–20% din efortul total de inginerie al programului în cadrul echipei.

Modele de implementare pentru aplicații multi-nivel

Modelul arhitectural dominant pentru software-ul NATO multi-nivel este releul pe niveluri: o singură aplicație logică cu implementări separate la fiecare nivel de clasificare, conectate prin CDS aprobat pentru schimb controlat de date. Fiecare implementare specifică nivelului este un sistem acreditat independent, chiar dacă rulează același cod de bază. Modificările componentelor partajate trebuie re-calificate în pachetul de acreditare al fiecărui nivel înainte de implementare.

Sanitizarea datelor înainte de declasarea inter-nivel este cel mai complex element tehnic al acestui model. O aplicație de raportare care agregă date operaționale NS pentru distribuție către rețelele NU trebuie să implementeze un flux de sanitizare care elimină câmpurile clasificate, înlătură metadatele încorporate (date EXIF în imagini, informații despre autor în documente, coordonate GPS în jurnalele de senzori), convertește datele în formate care nu pot transporta informații clasificate încorporate și înregistrează fiecare transfer cu suficiente detalii de audit pentru a reconstrui proveniența fiecărui element care a traversat granița.

Sanitizarea automată poate gestiona date structurate (înregistrări de bază de date cu clasificări de câmp definite), dar este inadecvată pentru datele nestructurate (documente în limbaj natural, imagini, audio). Pentru declasarea datelor nestructurate, un pas de revizuire umană — un recenzent de clasificare instruit care inspectează rezultatul sanitizat înainte ca acesta să traverseze granița — este de obicei cerut de autoritățile de acreditare. Software-ul poate asista recenzentul (evidențiind pasajele probabil clasificate, semnalând imaginile care conțin echipamente sau personal), dar decizia de revizuire trebuie să fie atribuibilă unei persoane numite și responsabile.

Pentru furnizorii ale căror produse se integrează cu arhitecturi zero-trust în mediile NATO, modelul de niveluri adaugă o dimensiune modelului standard zero-trust: pe lângă verificarea identității, a stării dispozitivului și a contextului cererii, motorul de politici trebuie să impună și controale de acces bazate pe clasificarea datelor — asigurând că un utilizator autentificat la NS nu poate exfiltra în mod neintenționat date NS printr-o interfață de aplicație expusă la NU. Acest lucru necesită ca etichetele de clasificare să fie atașate obiectelor de date la punctul de ingestie și impuse pe întreaga stivă a aplicației, inclusiv cache-uri, cozi și stocare temporară.

Ce înseamnă acest lucru pentru furnizorii de software de apărare

Modelul de niveluri NATO nu este un cadru abstract de conformitate — este un set de constrângeri de inginerie dure care determină ce poți construi, cât de repede îl poți implementa și cum trebuie să arhitectezi fiecare flux de date. Furnizorii care îl tratează ca pe un exercițiu de bifare descoperă implicațiile sale târziu, când remedierea este cea mai costisitoare.

Cei mai importanți pași practici sunt: definește nivelul țintă la începutul designului arhitecturii, nu după dezvoltare; angajează NATO SAA sau DAA națională în consultări de pre-acreditare înainte de a depune un pachet formal; construiește designul interfeței CDS în paralel cu designul aplicației, nu după acesta; și tratează mentenanța acreditării ca pe o funcție de inginerie continuă, nu ca pe un punct de reper unic al programului.

Pentru produse precum Corvus Quantum care transmit date clasificate peste sau în cadrul rețelelor NATO, arhitectura de niveluri definește întreaga topologie de streaming — plasarea encoderului, punctele de integrare CDS, cerințele de securitate ale nodurilor de releu și bugetul de latență disponibil după luarea în calcul a overhead-ului de inspecție CDS. Acestea nu sunt parametri care pot fi optimizați ulterior; trebuie proiectați în sistem de la prima revizuire a arhitecturii.

Discutați despre proiectul dumneavoastră

Proiectăm și implementăm software securizat pentru programele de apărare NATO și aliate — de la cloud comercial NATO Unclassified până la implementări air-gapped NATO Secret și arhitecturi multi-nivel integrate cu CDS.

Corvus Quantum → Programați un briefing

Această analiză a fost pregătită de inginerii Corvus Intelligence care construiesc software critic pentru misiune pentru organizații de apărare și guvernamentale. Aflați despre echipa noastră →

Întrebări frecvente

Poate AWS GovCloud găzdui date NATO SECRET?

Nu — nu direct. AWS GovCloud (US) este acreditat pentru US DoD Impact Level 5 (IL5), care acoperă sistemele de securitate națională ale SUA și CUI. Clasificarea NATO SECRET (NS) urmează procesele de acreditare NATO NCIA, care sunt separate de cadrele FedRAMP și DoD IL. Datele NATO SECRET trebuie să rezideze în infrastructură acreditată în mod specific de autoritățile de securitate NATO, ceea ce înseamnă de obicei facilități deținute de NATO, cloud suveran controlat de un MoD național sau centre de date operate de contractori care au finalizat evaluarea INFOSEC Technical Baseline a NATO. Unele programe naționale au urmărit acorduri bilaterale, dar nu există o aprobare generală pentru GovCloud comercial ca gazdă pentru date NS.

Ce este catalogul de servicii cloud NATO NCIA?

NATO Communications and Information Agency (NCIA) gestionează NATO Cloud Service Catalogue, care listează ofertele Infrastructure-as-a-Service, Platform-as-a-Service și Software-as-a-Service aprobate pentru utilizare pe nivelurile de clasificare NATO. Catalogul distinge serviciile aprobate pentru NATO Unclassified (NU), NATO Restricted (NR) și NATO Confidential/Secret (NC/NS). NCIA operează NATO Hybrid Cloud, o combinație de infrastructură NATO operată privat și servicii comerciale aprobate pentru nivelurile de clasificare inferioare. Accesul la catalog și la listele de furnizori aprobați necesită angajament prin delegații naționale sau prin canale directe de achiziție NCIA.

Cât durează acreditarea cloud NATO?

Termenele de acreditare de securitate NATO depind în mare măsură de nivelul de clasificare și de domeniul de aplicare. Pentru sistemele NATO Unclassified care folosesc servicii comerciale deja aprobate, integrarea și aprobarea pot dura 3–6 luni. Pentru sistemele NATO Restricted sau NATO Confidential, pachetul de acreditare — incluzând System Security Plan, evaluarea riscurilor și dovezile INFOSEC Technical Baseline — necesită de obicei 9–18 luni pentru o primă depunere, cu cicluri de iterație dacă sunt ridicate constatări. Sistemele NATO Secret care necesită acreditarea infrastructurii dedicate pot dura 2–4 ani pentru o nouă facilitate sau platformă. Furnizorii ar trebui să angajeze NATO Security Accreditation Authority (SAA) devreme în ciclul de viață al programului, nu la sfârșitul dezvoltării.

Ce este o soluție cross-domain și când este necesară?

O soluție cross-domain (CDS) este o combinație de hardware și software care impune politica de securitate a informației la transferul datelor între rețele de niveluri de clasificare diferite. Un CDS este necesar de fiecare dată când datele trebuie să circule de la o rețea cu clasificare mai înaltă (de ex. NATO Secret) către o rețea cu clasificare mai joasă (de ex. NATO Unclassified), sau în direcția inversă cu sanitizare și declasificare corespunzătoare. Componentele CDS includ dispozitive de tip guard (echipamente de filtrare bidirecțională), data diodes (fluxuri unidirecționale impuse hardware pentru transfer în masă) și protocol breaks (împiedicând sesiunile TCP directe să traverseze granița). Toate componentele CDS folosite în mediile NATO trebuie să fie pe lista de produse aprobate de NCIA sau să fi primit o aprobare a unei autorități naționale acceptată de NATO.

Care sunt cerințele de separare fizică între nivelurile cloud NATO?

Cerințele de separare fizică cresc odată cu nivelul de clasificare. Infrastructura NATO Unclassified poate partaja hardware cu sisteme non-NATO folosind separare logică (VLAN-uri, VPC-uri, izolare de tenant). NATO Restricted necesită de obicei separare logică de sarcinile comerciale, dar poate partaja infrastructura fizică în cadrul unei facilități controlate. NATO Confidential și NATO Secret necesită servere, stocare și rețele separate fizic în cadrul unei facilități acreditate NATO — infrastructura fizică partajată cu sarcini de clasificare inferioară sau comerciale nu este permisă. NATO Top Secret (CTS) și mai sus necesită securitate fizică echivalentă SCIF cu acces al personalului strict controlat, ecranare electromagnetică și, în majoritatea cazurilor, air-gap complet față de orice rețea externă, inclusiv alte rețele clasificate.