Хмарні рівні NATO: архітектура інфраструктури для unclassified, secret і top secret

Автор: Команда інженерів Corvus Intelligence · Про команду →

4 червня 2026 9 хв читання

Класифікаційна система NATO поділяє інформацію на чотири рівні — NATO Unclassified (NU), NATO Restricted (NR), NATO Confidential (NC) і NATO Secret (NS) — а над усіма ними стоїть Cosmic Top Secret (CTS) для найчутливішої інформації альянсу. Кожен рівень накладає окремі вимоги до інфраструктури, персоналу та процесів. ПЗ, що працює на кількох рівнях, не може ставитися до класифікації як до чогось другорядного; рівнева модель — це несуча архітектура.

Для постачальників оборонного ПЗ розуміння того, як ці рівні зіставляються з фізичною інфраструктурою, мережевою архітектурою, системами ідентифікації та процесами акредитації, не є опціональним. Продукт, сертифікований лише для середовищ NATO Unclassified, не буде прийнятий для операцій NATO Secret незалежно від його технічних можливостей. І навпаки, надмірна інженерія системи до стандартів Secret, коли достатньо Unclassified, призводить до зайвих витрат і ризиків для графіка. Правильне зіставлення рівнів від самого початку — найвагоміше архітектурне рішення в програмі NATO.

Модель класифікаційних рівнів NATO

Безпекова політика NATO, що регулюється C-M(2002)49 та документами-наступниками, визначає рівні секретності як маркери шкоди, яку завдало б несанкціоноване розкриття. Практичні інфраструктурні наслідки кожного рівня є значними:

NATO Unclassified (NU) охоплює інформацію, придатну для публічного оприлюднення, та внутрішні адміністративні дані, що не вимагають захисту понад стандартну ІТ-гігієну. Системи NU можуть використовувати комерційні хмарні сервіси, спільну інфраструктуру та стандартні мережі з підключенням до інтернету. Каталог хмарних сервісів NCIA перелічує схвалені комерційні сервіси для навантажень NU. Цей рівень приблизно аналогічний мережі US DoD NIPR (Non-classified Internet Protocol Router).

NATO Restricted (NR) — середній рівень класифікації для інформації, розкриття якої було б невигідним для інтересів NATO. NR використовується не повсюдно в усіх країнах NATO — кілька держав-членів не мають внутрішнього еквівалента Restricted. Інфраструктура для навантажень NR має бути в межах контрольованих об'єктів із обмеженнями доступу, але може використовувати спільне фізичне обладнання з іншими навантаженнями NR від різних країн за умов логічного розділення.

NATO Confidential (NC) охоплює інформацію, розкриття якої завдало б шкоди інтересам NATO. Системи NC вимагають виділених логічних середовищ, схвалених криптографічних систем (зазвичай з каталогу, схваленого NCIA) і персоналу з мінімальним допуском. NC приблизно аналогічний мережі US SIPR (Secret Internet Protocol Router) на нижньому рівні.

NATO Secret (NS) — основна операційна класифікація для чутливого планування альянсу, розвідувальних та операційних даних. Інфраструктура NS має бути фізично відокремлена від NC і нижче — окремі сервери, окреме сховище, окрема мережа. Доступ персоналу вимагає допуску NATO Secret і принципу need-to-know. Більшість тактичного та операційного ПЗ NATO працює на NS. Еквівалент США — SECRET у SIPR або IL5/IL6 у хмарному контексті.

Cosmic Top Secret (CTS) та його спеціальні застереження (CTS/ATOMAL, CTS/BOHEMIA тощо) вимагають фізичної безпеки, еквівалентної SCIF, повного air-gap від зовнішніх мереж, включно з NS, і строго обмеженого кола персоналу. Системи CTS експлуатуються лише в об'єктах під контролем NATO або з національною акредитацією. Жодна комерційна хмарна пропозиція, хоч би якою добре акредитованою вона була, не кваліфікується для CTS.

Ключовий висновок: Найбільш операційно вагомі системи NATO працюють на рівні NS. Постачальники, що націлені на ключові програми C2, ISR та логістики альянсу, мають проєктувати під NS з першого дня — дообладнання системи, спроєктованої для NU, заходами безпеки NS рідко є можливим без майже повної перебудови рівнів ідентифікації, криптографії та обробки даних.

Вимоги до фізичного розділення на кожному рівні

Вимоги до фізичного розділення є найконкретнішим вираженням класифікаційних рівнів, і вони впливають на витрати на інфраструктуру більше за будь-який інший фактор.

На рівні NATO Unclassified дозволена спільна фізична інфраструктура. Навантаження NU може працювати в багатоорендному комерційному хмарному дата-центрі поряд з не-NATO орендарями, за умови, що хмарний сервіс є в переліку, схваленому NCIA, і логічна ізоляція (VPC, простір імен, розділення орендарів) налаштована правильно. Це робить NU єдиним рівнем, на якому гіпермасштабна комерційна хмара є справжньою опцією без контролю на рівні об'єкта.

На рівнях NATO Restricted та Confidential фізична інфраструктура має розміщуватися в акредитованому NATO об'єкті або національно схваленому еквіваленті. Серверне, дискове та мережеве обладнання має бути виділене для навантажень NATO — його не можна ділити з комерційними орендарями чи не-NATO урядовими навантаженнями. У межах акредитованого NATO об'єкта системи NR і NC можуть використовувати спільне обладнання за умов суворого логічного розділення, але сам об'єкт забезпечує межу фізичної безпеки.

На рівні NATO Secret фізичне розділення стає абсолютнішим. Сервери, сховище та мережа NS мають бути на виділеному обладнанні, яке не ділиться з навантаженнями NC чи NR. Обладнання має розміщуватися в об'єкті, що відповідає вимогам TEMPEST NATO (захист від електромагнітного випромінювання), із зонним контролем доступу та відеоспостереженням за серверними кімнатами. Портативні носії, що використовуються в середовищах NS, мають відстежуватися, контролюватися та оброблятися за процедурами COMSEC (безпека зв'язку) NATO.

На рівні Cosmic Top Secret вимоги до фізичної безпеки наближаються до вимог національного розвідувального об'єкта: повні будівельні стандарти SCIF, доступ персоналу через двофакторні біометричні чи карткові системи, екранування Фарадея та відсутність мережевого підключення до зовнішніх систем — включно з іншими секретними мережами — без схваленого CDS.

Обчислювальні опції за рівнями

Комерційна хмара та GovCloud (NATO Unclassified). Навантаження NU можна розгортати на комерційних гіпермасштабних платформах (AWS, Azure, GCP), використовуючи схвалені NCIA сервісні пропозиції. Для країн-членів NATO з вимогами національного суверенітету перевага надається національним хмарним платформам, що керуються схваленими провайдерами. NCIA Hybrid Cloud надає кероване середовище NU для власних адміністративних та публічних систем NATO.

Суверенна хмара та виділене оренда (NATO Restricted / Confidential). Практичні обчислювальні опції для навантажень NR/NC — це розгортання суверенної хмари (національно керована хмарна інфраструктура на схваленому обладнанні в контрольованих об'єктах) або виділені приватні хмарні середовища в акредитованих NATO дата-центрах. Кілька країн NATO створили національні оборонні хмарні програми: MOD Managed Cloud Services Великої Британії, Cloud au Centre (SFT3) Франції та хмарну програму Bundeswehr Informationstechnik GmbH (BWI) Німеччини. Ці платформи спеціально спроєктовані для зберігання даних NR/NC і пройшли національну акредитацію.

Air-gapped суверенна інфраструктура (NATO Secret). Обчислення NS виконуються на air-gapped інфраструктурі — фізично ізольованих серверах без зовнішнього мережевого підключення. Розгортання ПЗ у середовища NS відбувається через акредитовані носії (зашифрований USB, оптичний диск або виділена робоча станція передачі) через CDS. Оркестрація контейнерів на рівні NS зазвичай використовує посилений дистрибутив Kubernetes, розгорнутий на bare-metal або приватному гіпервізорі, без підключення до зовнішніх реєстрів чи каналів оновлень. Усі образи контейнерів мають бути попередньо завантажені, перевірені та завантажені в air-gapped реєстри перед розгортанням.

Ключовий висновок: Управління ланцюгом постачання образів контейнерів — один з найбільш проблемних операційних викликів на рівні NS. Постачальники, що розгортають контейнеризовані застосунки в середовищах NATO Secret, мають підтримувати повний реєстр компонентів ПЗ (SBOM), попередньо кваліфікувати всі базові образи через процес перевірки образів об'єкта і прийняти те, що цикли оновлень, які в комерційних середовищах вимірюються днями, на NS вимірюватимуться тижнями чи місяцями.

Мережева архітектура та cross-domain solutions

Визначальним мережевим викликом у багаторівневому розгортанні NATO є контроль потоку даних через межі секретності. Дані, що походять з NS, не можуть потрапляти в мережі NU без проходження через схвалене cross-domain solution. CDS забезпечує дотримання безпекової політики на межі — це не просто фаєрвол, а спеціалізований прилад, що застосовує правила інспекції вмісту, валідації даних та трансформації форматів, визначені в пакеті акредитації системи.

Guard-пристрої — це двонапрямні фільтрувальні прилади, що дозволяють схваленим типам даних передаватися між рівнями за визначених умов. Guard може дозволити санітизованим сенсорним даним передаватися з NS до NU для ширшого розповсюдження, водночас блокуючи будь-який потік даних планування чи розвідки. Guard-пристрої вимагають детальної політики фільтрації вмісту, затвердженої органом акредитації, а сама політика стає артефактом безпеки, що має бути під контролем версій та аудитом.

Data diodes — це апаратно забезпечені односпрямовані пристрої передачі: фізично вони містять лише передавач на боці high і лише приймач на боці low, що унеможливлює потік даних у забороненому напрямку. Data diodes використовуються для масової передачі з high до low (наприклад, проштовхування санітизованих тактичних логів з NS до NU для аналізу), де двонапрямний зв'язок не потрібен. Продукти на кшталт Owl Cyber Defense DualDiode та Waterfall Security Unidirectional Security Gateways поширені в NATO-еквівалентних розгортаннях.

Protocol breaks запобігають прямим TCP/IP-сесіям перетинати межі секретності. Навіть там, де guard дозволяє потік даних, з'єднання має завершуватися на guard і повторно ініціюватися з іншого боку — жодна наскрізна сесія не може перетинати межу рівня. Це має значні наслідки для застосунків реального часу: потокове відео, голос і сенсорні потоки, що переходять з NS до NU, мають бути перекодовані та повторно передані на guard, що вносить затримку та вимагає узгодження форматів.

Для Corvus Quantum, що надає захищений потоковий передачу відео та даних в оборонних середовищах, багаторівневі розгортання вимагають реалізації потокового конвеєра як рівневого ретранслятора — кодувальник NS живить схвалений CDS, який повторно ініціює санітизований потік на боці NU. Потоковий протокол має бути сумісним з CDS (зазвичай UDP з фіксованою структурою пакетів, яку можуть розбирати фільтри вмісту guard), а не сесійним протоколом, що вимагає наскрізного TCP.

Управління ідентифікацією та доступом між рівнями

Кожен класифікаційний рівень підтримує власну точку довіри PKI (Public Key Infrastructure), і сертифікати з PKI нижчого рівня автоматично не довіряються в середовищі вищого рівня. На NATO Unclassified може бути прийнятна стандартна комерційна PKI або національна урядова PKI. На NATO Secret інфраструктурою ідентифікації є NATO PKI — виділений центр сертифікації, керований NCIA, що видає сертифікати для смарт-карток (токени NATO CIS), розподілених між персоналом з допусками NS.

Практичний наслідок для багаторівневих застосунків полягає в тому, що користувач, який працює на різних рівнях, має мати окремі ідентичності та окремі апаратні токени для кожного рівня. Система, що намагається ділити єдину ідентичність між NU і NS, не є акредитованою. Застосунки мають реалізовувати окремі потоки автентифікації для кожного рівня, без жодного сесійного токена чи облікового матеріалу, що перетинає межу рівня.

Багатофакторна автентифікація є обов'язковою на всіх рівнях вище NU. На NC/NS стандартом є автентифікація на основі сертифіката з використанням апаратного токена (PKI смарт-картка) плюс PIN — біометрія може доповнювати, але не може замінити сертифікатний фактор. Автентифікація лише за паролем не приймається на жодному секретному рівні. Для веб-застосунків, розгорнутих у середовищах NS, базовим є взаємний TLS з автентифікацією за клієнтським сертифікатом, без винятків для розробницьких чи сервісних облікових записів.

Управління привілейованим доступом на рівні NS зазвичай вимагає jump-серверів (привілейованих робочих станцій доступу, PAW), які фізично та логічно ізольовані від стандартних користувацьких робочих станцій, з усіма привілейованими сесіями, що записуються та підлягають аудиту. Саме середовище PAW має бути частиною акредитованої межі системи.

Сертифікація ПЗ та процес акредитації NATO

ПЗ, що працює на рівні NC чи NS, має бути сертифіковане через процес безпекової акредитації NATO, керований NATO Security Accreditation Authority (SAA) — органом у складі NCIA, відповідальним за схвалення систем для роботи в мережах NATO. Процес акредитації дотримується NATO INFOSEC Technical Baseline (ITB) — набору вимог безпеки, що охоплюють контроль доступу, криптографію, аудит, управління вразливостями та управління конфігурацією.

Пакет акредитації включає план безпеки системи (System Security Plan, SSP), що документує межу системи, потоки даних та заходи безпеки; оцінку ризиків, що зіставляє залишкові ризики з ITB; план управління конфігурацією (Configuration Management Plan); та план реагування на інциденти (Incident Response Plan). Для ПЗ, розгорнутого в національних об'єктах за двосторонніми угодами, національний Designated Accreditation Authority (DAA) — еквівалентні ролі існують у Великій Британії (DSO), Німеччині (BSI), Франції (ANSSI) та інших державах-членах — може проводити акредитацію замість NATO SAA, але застосовані стандарти мають відповідати або перевищувати ITB.

Постачальникам слід планувати кілька циклів акредитації. Початкова акредитація зазвичай включає перше подання, звіт про зауваження від SAA, період усунення та повторне подання — повний цикл регулярно займає 12–24 місяці для систем NS. Кожен великий реліз ПЗ, що змінює межу системи, вводить нові потоки даних або змінює криптографічні реалізації, може ініціювати часткову повторну акредитацію. Вбудовування підтримки акредитації в життєвий цикл розробки продукту — а не ставлення до неї як до одноразової події — є необхідним для програм з багаторічними операційними горизонтами.

Ключовий висновок: Терміни акредитації NATO — найчастіше недооцінюваний ризик для графіка в програмах ПЗ альянсу. Постачальники, що входять у свою першу програму NATO, мають закласти 18 місяців від першого подання SSP до отримання операційного дозволу на роботу на рівні NS і мають очікувати, що процес акредитації споживе 15–20% загальних інженерних зусиль програми в межах команди.

Шаблони розгортання для багаторівневих застосунків

Домінуючим архітектурним шаблоном для багаторівневого ПЗ NATO є рівневий ретранслятор: єдиний логічний застосунок з окремими розгортаннями на кожному рівні секретності, з'єднаними схваленим CDS для контрольованого обміну даними. Кожне рівневе розгортання є незалежною акредитованою системою, навіть якщо воно виконує ту саму кодову базу. Зміни до спільних компонентів мають бути повторно кваліфіковані в пакеті акредитації кожного рівня перед розгортанням.

Санітизація даних перед пониженням рівня між рівнями — найтехнічно складніший елемент цього шаблону. Звітний застосунок, що агрегує операційні дані NS для розповсюдження в мережах NU, має реалізувати робочий процес санітизації, що видаляє секретні поля, прибирає вбудовані метадані (дані EXIF у зображеннях, інформацію про автора в документах, координати GPS у сенсорних логах), конвертує дані у формати, що не можуть нести вбудовану секретну інформацію, і логує кожну передачу з достатньою детальністю аудиту, щоб реконструювати походження кожного елемента, що перетнув межу.

Автоматизована санітизація може обробляти структуровані дані (записи бази даних з визначеною класифікацією полів), але є неадекватною для неструктурованих даних (документи природною мовою, зображення, аудіо). Для пониження рівня неструктурованих даних органи акредитації зазвичай вимагають кроку перевірки людиною — навченого рецензента класифікації, що перевіряє санітизований вихід перед перетином межі. ПЗ може допомагати рецензенту (підсвічуючи ймовірні секретні фрагменти, позначаючи зображення, що містять обладнання чи персонал), але рішення про перевірку має бути приписане названій підзвітній особі.

Для постачальників, чиї продукти інтегруються з архітектурами zero-trust у середовищах NATO, рівнева модель додає вимір до стандартної моделі zero-trust: окрім перевірки ідентичності, стану пристрою та контексту запиту, рушій політик має також забезпечувати контроль доступу на основі класифікації даних — гарантуючи, що користувач, автентифікований на NS, не зможе ненавмисно ексфільтрувати дані NS через інтерфейс застосунку, відкритий на NU. Це вимагає, щоб класифікаційні мітки приєднувалися до об'єктів даних у точці прийому та забезпечувалися через увесь стек застосунку, включно з кешами, чергами та тимчасовим сховищем.

Що це означає для постачальників оборонного ПЗ

Рівнева модель NATO — це не абстрактна система відповідності, а набір жорстких інженерних обмежень, що визначають, що ви можете побудувати, як швидко ви можете це розгорнути та як ви маєте проєктувати кожен потік даних. Постачальники, які ставляться до неї як до формальності, виявляють її наслідки пізно, коли усунення є найдорожчим.

Найважливіші практичні кроки такі: визначте свій цільовий рівень на самому початку проєктування архітектури, а не після розробки; залучіть NATO SAA чи національний DAA до передакредитаційних консультацій перед поданням формального пакета; будуйте дизайн інтерфейсу CDS паралельно з дизайном застосунку, а не після нього; і ставтеся до підтримки акредитації як до безперервної інженерної функції, а не одноразової віхи програми.

Для продуктів на кшталт Corvus Quantum, що передають секретні дані через мережі NATO або в їх межах, рівнева архітектура визначає всю потокову топологію — розміщення кодувальників, точки інтеграції CDS, вимоги безпеки до вузлів ретрансляції та бюджет затримки, доступний після врахування накладних витрат на інспекцію CDS. Це не параметри, які можна оптимізувати постфактум; вони мають бути закладені в систему з першого архітектурного огляду.

Обговоріть ваш проєкт

Ми проєктуємо та розгортаємо захищене ПЗ для оборонних програм NATO та союзників — від комерційної хмари NATO Unclassified до air-gapped розгортань NATO Secret та багаторівневих архітектур з інтеграцією CDS.

Corvus Quantum → Замовити брифінг

Цей аналіз підготували інженери Corvus Intelligence, які створюють критично важливе ПЗ для оборонних та урядових організацій. Дізнайтеся про нашу команду →

Поширені запитання

Чи може AWS GovCloud зберігати дані рівня NATO SECRET?

Ні — не напряму. AWS GovCloud (US) акредитований для US DoD Impact Level 5 (IL5), що охоплює системи національної безпеки США та CUI. Класифікація NATO SECRET (NS) дотримується процесів акредитації NATO NCIA, які відокремлені від механізмів FedRAMP та DoD IL. Дані NATO SECRET мають розміщуватися в інфраструктурі, спеціально акредитованій безпековими органами NATO, що зазвичай означає об'єкти у власності NATO, суверенну хмару під контролем національного МО або дата-центри під управлінням підрядників, які пройшли оцінку за NATO INFOSEC Technical Baseline. Деякі національні програми домовлялися про двосторонні угоди, але немає загального дозволу на використання комерційного GovCloud як хосту для даних NS.

Що таке каталог хмарних сервісів NATO NCIA?

NATO Communications and Information Agency (NCIA) керує каталогом хмарних сервісів NATO (NATO Cloud Service Catalogue), у якому перелічені пропозиції Infrastructure-as-a-Service, Platform-as-a-Service та Software-as-a-Service, схвалені для використання на різних рівнях секретності NATO. Каталог розрізняє сервіси, схвалені для NATO Unclassified (NU), NATO Restricted (NR) і NATO Confidential/Secret (NC/NS). NCIA керує NATO Hybrid Cloud — поєднанням приватно керованої інфраструктури NATO та схвалених комерційних сервісів для нижчих рівнів секретності. Доступ до каталогу та переліків схвалених постачальників вимагає взаємодії через національні делегації або прямі канали закупівель NCIA.

Скільки часу займає акредитація хмари NATO?

Терміни акредитації безпеки NATO значною мірою залежать від рівня секретності та обсягу. Для систем NATO Unclassified, які використовують уже схвалені комерційні сервіси, інтеграція та схвалення можуть зайняти 3–6 місяців. Для систем NATO Restricted або NATO Confidential пакет акредитації — включно з планом безпеки системи (System Security Plan), оцінкою ризиків та доказами відповідності INFOSEC Technical Baseline — зазвичай вимагає 9–18 місяців для першого подання, з циклами доопрацювання, якщо виявлені зауваження. Системи NATO Secret, які потребують акредитації виділеної інфраструктури, можуть займати 2–4 роки для нового об'єкта чи платформи. Постачальникам слід залучати NATO Security Accreditation Authority (SAA) на ранніх етапах життєвого циклу програми, а не наприкінці розробки.

Що таке cross-domain solution і коли воно потрібне?

Cross-domain solution (CDS) — це поєднання апаратного та програмного забезпечення, яке забезпечує дотримання політики інформаційної безпеки під час передачі даних між мережами різних рівнів секретності. CDS потрібне щоразу, коли дані мають передаватися з мережі вищого рівня секретності (наприклад, NATO Secret) до мережі нижчого рівня (наприклад, NATO Unclassified), або у зворотному напрямку з належною санітизацією та розсекреченням. Компоненти CDS включають guard-пристрої (двонапрямні фільтрувальні прилади), data diodes (апаратно забезпечені односпрямовані потоки для масової передачі) та protocol breaks (запобігання прямим TCP-сесіям перетинати межу). Усі компоненти CDS, що використовуються в середовищах NATO, мають бути в переліку схвалених продуктів NCIA або отримати схвалення національного органу, прийняте NATO.

Які вимоги до фізичного розділення між хмарними рівнями NATO?

Вимоги до фізичного розділення зростають разом із рівнем секретності. Інфраструктура NATO Unclassified може використовувати спільне обладнання з не-NATO системами за допомогою логічного розділення (VLAN, VPC, ізоляція орендарів). NATO Restricted зазвичай вимагає логічного розділення від комерційних навантажень, але може використовувати спільну фізичну інфраструктуру в межах контрольованого об'єкта. NATO Confidential і NATO Secret вимагають фізично окремих серверів, сховищ та мережевого обладнання в межах акредитованого NATO об'єкта — спільна фізична інфраструктура з навантаженнями нижчого рівня секретності чи комерційними навантаженнями не дозволяється. NATO Top Secret (CTS) і вище вимагають фізичної безпеки, еквівалентної SCIF, із суворо контрольованим доступом персоналу, електромагнітним екрануванням і в більшості випадків повним air-gap від будь-якої зовнішньої мережі, включно з іншими секретними мережами.