Secteurs

Gouvernement : normes

Certifications et accréditations

Simplifier la certification et l'accréditation

Red Hat s'engage pour vous à simplifier autant que possible les processus de certification et d'accréditation. Les ressources suivantes devraient vous aider à respecter les diverses exigences gouvernementales.

Certifications

Produit Version Niveau Profil de protection Plateformes État
JBoss® Enterprise Application Platform 4.3 EAL2 -- Évalué
JBoss Enterprise Application Platform 5 EAL4+ -- Évalué
Red Hat JBoss Enterprise Application Platform 6.2 EAL4+ -- Évalué
MetaMatrix Data Services Platform 5.5.3 EAL2+ -- Évalué
Red Hat Certificate System 6 EAL4+ CIMC Évalué
Red Hat Certificate System 8.1 EAL4+ CIMC Évalué
Red Hat Enterprise Linux 4 EAL3+ CAPP Évalué
Red Hat Enterprise Linux 4 EAL4+ CAPP Évalué
Red Hat Enterprise Linux 5 EAL4+ CAPP/RBACPP/LSPP Évalué
Red Hat Enterprise Linux 5 EAL4+ avec virtualisation KVM Évalué
Red Hat Enterprise Linux 6 EAL4+ OSPP, notamment Labeled Security, Advanced Audit, Advanced Management et Virtualization Extended Modules Évalué
Red Hat Enterprise Linux 6 EAL4+ OSPP, notamment Labeled Security, Advanced Audit et Advanced Management Évalué
Red Hat Enterprise Linux 6 EAL4+ 32 bits. OSPP, notamment Advanced Audit
  • Serveur PCE (Payload Control Element) Northrop Grumman 309-C20213 (rapport, cible)
Évalué
Red Hat Enterprise Linux 7 EAL4+ OSPP v2.0, OSPP v3.9
  • Gamme de serveurs Dell PowerEdge 13G
  • Dell Precision Rack 7910
  • Serveurs HP DL, BL, ML et SL, générations G7, Gen8 et Gen9, avec processeurs Intel Xeon 64 bits
  • Serveurs HP DL, BL, ML et SL, générations G7 et Gen8, avec processeurs AMD Opteron 64 bits
  • IBM System z basé sur des processeurs z/Architecture : zEnterprise EC12 (zEC12), zEnterprise BC12 (zBC12), zEnterprise 196 (z196), zEnterprise 114 (z114)
  • IBM System p basé sur des processeurs Power 8 pour fournir des environnements d'exécution avec RHEV pour Power 3.6 et PowerVM : Big Endian avec PowerVM : Power 835 modèle 8286-41A, Little Endian avec RHEV pour Power 3.6 : Power 835 modèle 8284-22A
Évaluation en cours (ID n°BSI-DSZ-CC-0949)

FIPS 140-2 (Federal Information Processing Standard 140-2)

La norme Federal Information Processing Standard 140-2 garantit que les outils cryptographiques mettent correctement en œuvre leurs algorithmes. Vous trouverez de nombreux articles sur cette norme sur le portail client Red Hat. La liste complète des certificats FIPS 140-2 est disponible sur le site Web du CMVP du NIST. Voici la liste des certificats Red Hat.

Produit Composant Version Certificat État
Red Hat Enterprise Linux 4 NSS 3.11.4 n° 815 Certifié, niveau 1
Red Hat Enterprise Linux 4 NSS 3.11.4 n° 814 Certifié, niveau 2
Red Hat Enterprise Linux 4 NSS (Freebl) 3.12.4 n° 1293 Certifié, niveau 1
Red Hat Enterprise Linux 4 NSS 3.12.4 n° 1280 Certifié, niveau 2
Red Hat Enterprise Linux 5 API Kernel Cryptographic 1.0 n° 1387 Certifié, niveau 1
Red Hat Enterprise Linux 5 libgcrypt 1.0 n° 1305 Certifié, niveau 1
Red Hat Enterprise Linux 5 NSS 3.11.4 n° 815 Certifié, niveau 1
Red Hat Enterprise Linux 5 NSS 3.11.4 n° 814 Certifié, niveau 2
Red Hat Enterprise Linux 5 NSS (Freebl) 3.12.4 n° 1293 Certifié, niveau 1
Red Hat Enterprise Linux 5 NSS 3.12.4 n° 1280 Certifié, niveau 2
Red Hat Enterprise Linux 5 OpenSSH Client 1.0 n° 1385 Certifié, niveau 1
Red Hat Enterprise Linux 5 OpenSSH Server 1.0 n° 1384 Certifié, niveau 1
Red Hat Enterprise Linux 5 OpenSSL 1.0 n° 1320 Certifié, niveau 1
Red Hat Enterprise Linux 5 Openswan 1.0 n° 1386 Certifié, niveau 1
Red Hat Enterprise Linux 6 API Kernel Cryptographic 2.0 n° 1901 Certifié, niveau 1
Red Hat Enterprise Linux 6 API Disk Volume Cryptographic 2.0 n° 1933 Certifié, niveau 1
Red Hat Enterprise Linux 6 libgcrypt 2.0 n° 1757 Certifié, niveau 1
Red Hat Enterprise Linux 6 OpenSSH Client 2.0 n° 1791 Certifié, niveau 1
Red Hat Enterprise Linux 6 OpenSSH Server 2.0 n° 1792 Certifié, niveau 1
Red Hat Enterprise Linux 6 OpenSSL 2.0 n° 1758 Certifié, niveau 1
Red Hat Enterprise Linux 6 Openswan 2.0 n° 1859 Certifié, niveau 1
Red Hat Enterprise Linux 6 NSS (Freebl) 3.12.9.1 n° 1710 Certifié, niveau 1
Red Hat Enterprise Linux 6 NSS 3.12.9.1 n° 1837 Certifié, niveau 1
Red Hat Enterprise Linux 6 OpenSSL 3.0 n° 2441 Certifié, niveau 1
Red Hat Enterprise Linux 6 OpenSSH Server 3.0 n° 2446 Certifié, niveau 1
Red Hat Enterprise Linux 6 OpenSSH Client 3.0 n° 2447 Certifié, niveau 1
Red Hat Enterprise Linux 6 NSS 3.14.3-22 n° 2564 Certifié, niveau 2
Red Hat Enterprise Linux 6 API Kernel Cryptographic 3.0 n° 2582 Certifié, niveau 1
Red Hat Enterprise Linux 7 OpenSSL 4.0 n° 2441 Certifié, niveau 1
Red Hat Enterprise Linux 7 OpenSSH Server 4.0 n° 2630 Certifié, niveau 1
Red Hat Enterprise Linux 7 OpenSSH Client 4.0 n° 2633 Certifié, niveau 1
Red Hat Enterprise Linux 7 libgcrypt 4.0 n° 2657 Certifié, niveau 1

USGv6 (DOD IPv6)

Les solutions Red Hat Enterprise Linux 5 et 6 sont toutes deux certifiées selon la norme USGv6, qui remplace la norme IPv6 (Internet Protocol version 6) du Département de la Défense des États-Unis.

Phase 2 du logo « IPv6 Ready »

RHEL 5.3 ou version ultérieure RHEL 6.0 ou version ultérieure
Protocoles centraux : hôte Certifié Certifié
Protocoles centraux : routeur Certifié
IPsec : nœud terminal Certifié Certifié
SNMP : hôte d'agent Certifié
DHCPv6 : serveur Certifié

Liste de produits testés USGv6 (version 6 du gouvernement fédéral américain)*

RHEL 5.6 ou version ultérieure RHEL 6.0 ou version ultérieure
Basic (Conf. : v1.2, IOP : v1.1) Certifié Certifié
SLAAC (Conf. : v1.1, IOP : v1.1) Certifié Certifié
Addr Arch (Conf. : v1.2, IOP : v1.1) Certifié Certifié
ESP (Conf. : v1.0, IOP : v1.1) Certifié
IKEv2 (Conf. : v1.1, IOP : v2.0) Certifié
IPSECv3 (Conf. : v1.2, IOP : v1.2) Certifié

* Liste des périphériques testés USGv6 pour Red Hat, Inc.

STIG (Secure Technical Implementation Guidelines) de la DISA

Tout système du Département de la Défense des États-Unis doit respecter les exigences STIG avant d'être mis en service. Vous trouverez ci-dessous une liste de guides qui peuvent vous aider à respecter les exigences STIG.

Produit Conseil État
JBoss Enterprise Application Platform 4 -- --
JBoss Enterprise Application Platform 5 La liste de contrôle JBoss de la NVD du NIST est la base de la méthodologie STIG future. Ébauche. Voir la section « SCAP Security Guide ».
Red Hat JBoss Enterprise Application Platform 6 -- En cours de développement. Voir la section « SCAP Security Guide ».
Red Hat Enterprise Linux 4 Utilisez les ébauches rédigées pour RHEL 5. Du travail supplémentaire sera nécessaire dans chaque cas. Version finale
Red Hat Enterprise Linux 5 http://iase.disa.mil/stigs/os/unix-linux/Pages/red-hat.aspx Ébauche
Red Hat Enterprise Linux 6 -- Voir la section « SCAP Security Guide ».

FISMA (Federal Information Security Management Act)

Toutes les agences fédérales doivent être en conformité avec le FISMA, et Red Hat s'efforce de simplifier autant que possible ce processus. Pour bien débuter, prenez connaissance du contenu de l'USGCB.

FedRAMP

FedRAMP est une variante du processus FISMA pour les fournisseurs de clouds. Tout comme pour le FISMA, commencez par explorer l'USGCB pour en savoir plus sur la conformité. Le programme de certification pour fournisseurs de clouds de Red Hat pourrait également vous intéresser.

ICD 503 / NSSI 1253, Instruction 8500.2 du DOD

La directive « Intelligence Community Directive 503 » décrit un système d'accréditation de systèmes de sécurité nationale. De même, la directive du Département de la Défense des États-Unis « Instruction 8500.2 » décrit les exigences pour les systèmes de défense. Le projet SCAP-Security-Guide donne des instructions pour respecter la directive ICD 5003 (et donc la directive NIST 800-53).

Chapitre 8 NISPOM

Vous trouverez des instructions pour respecter les exigences du chapitre 8 mentionnées dans l'article de la base de connaissances du chapitre 8 NISPOM (National Industrial Security Program Operating Manual).

Section 508 concernant l'accessibilité

La loi Section 508 exige que les agences gouvernementales garantissent l'accès à leurs logiciels aux personnes présentant un handicap. Red Hat répond à ces exigences à l'aide des modèles Voluntary Product Accessibility Templates (VPAT) remplis ci-dessous.

Produit Version VPAT
Red Hat Enterprise Linux 4 VPAT pour RHEL 4
Red Hat Enterprise Linux 5 VPAT pour RHEL 5
Red Hat Enterprise Linux 6 VPAT pour RHEL 6
Red Hat Enterprise Linux 7 VPAT pour RHEL 7
Red Hat Network Satellite Server 5 VPAT pour RHN Satellite Server 5
Red Hat Network Satellite Server 6 VPAT pour RHN Satellite Server 6
Red Hat JBoss Enterprise Application Platform 6 VPAT pour JBoss EAP 6.0
Red Hat OpenShift 3 Red Hat OpenShift 3
Red Hat CloudForms 3 Red Hat CloudForms 3
Red Hat Gluster Storage 3 Red Hat Gluster Storage 3

« Certificate of Networthiness » de l'armée américaine

Le « Certificate of Networthiness » délivré par l'armée américaine évalue le fonctionnement de tous les systèmes, applications et périphériques afin de déterminer la capacité de prise en charge, la viabilité, l'interopérabilité et le niveau de conformité avec les règles et mandats du gouvernement fédéral, du Département de la Défense et de l'Armée des États-Unis. L'Army Regulation AR 25-1, paragraphe 6-3(c), stipule que toutes les activités doivent obtenir un « Certificate of Networthiness » avant de connecter le matériel ou les logiciels au LWN (LandWarNet).

Le Certificate of Networthiness délivré par l'Armée américaine détermine la capacité ou l'intérêt d'une application ou d'un système à intégrer le réseau d'entreprise de l'Armée et aide cette dernière à définir une base standard en établissant et en exploitant les accords de licence d'entreprise.

Il a été développé pour limiter les déploiements non gérés de logiciels et de matériel. C'est aussi un moyen de garantir que les applications et le matériel connectés au LWN sont interopérables et ne nuiront pas aux autres systèmes du réseau en introduisant de nouvelles menaces.

Ce certificat s'applique à toutes les entités qui ajoutent, utilisent ou gèrent des ressources informatiques sur le LandWarNet :

  • toutes les applications (y compris les produits commerciaux) ;
  • tous les logiciels gouvernementaux ;
  • tous les services Web ;
  • les outils et services de collaboration ;
  • les systèmes tactiques ;
  • les systèmes nouveaux, hérités et mis en service.

La liste des logiciels dont le certificat a été approuvé est accessible sur le site Web du programme Networthiness de l'Armée (identifiants de connexion AKO requis).

USGCB (US Government Configuration Baseline)

L'USGCB fournit la configuration minimale de sécurité pour les produits logiciels. Red Hat a travaillé en étroite collaboration avec différentes agences gouvernementales sur cette directive, qui constitue un excellent point de départ pour les directives spécifiques à une agence ou à un programme.

Produit Contenu État
Red Hat Enterprise Linux 5 Contenu USGCB et outils de configuration disponibles via le NIST. Ébauche
Red Hat Enterprise Linux 6 Contenu activement développé dans le cadre du projet Fedora scap-security-guide. En cours de développement

SCAP (Secure Content Automation Protocol)

SCAP est un ensemble d'exigences de configuration déchiffrable par une machine. Vous pouvez fournir du contenu SCAP à des outils SCAP, qui procèderont à un audit de vos systèmes pour en vérifier la conformité. L'outil OpenSCAP est inclus dans Red Hat Enterprise Linux 5 et 6. Vous trouverez par ailleurs une liste de notre contenu SCAP dans la section US Government Configuration Baseline de cette page.

OVAL (Open Vulnerability and Assessment Language)

OVAL est une norme de sécurité qui permet de décrire les vulnérabilités en matière de sécurité de manière uniforme. Red Hat a participé à l'élaboration de cette norme en 2002, et notre équipe chargée de la sécurité des produits crée du contenu OVAL pour tous les avis de sécurité Red Hat. Pour plus d'informations, veuillez consulter la FAQ sur OVAL créée par l'équipe chargée de la sécurité des produits.

CVE (Common Vulnerability Enumeration)

Le système CVE fournit un identifiant commun pour les défauts connus des logiciels. La base de données CVE est administrée par l'organisme MITRE. Si une alerte CVE est émise pour des produits Red Hat, nous incluons une déclaration du fournisseur, qui explique comment corriger cette vulnérabilité. Pour plus d'informations, consultez la section Comment savoir si un nom CVE affecte un paquet Red Hat Enterprise Linux ? dans le portail client Red Hat.

IAVA (Information Assurance Vulnerability Alerts)

Les alertes IAVA sont similaires aux alertes CVE et fournissent des instructions aux employés du Département de la Défense des États-Unis en matière de sécurisation de leurs systèmes. Pour en savoir plus sur la correspondance entre les alertes IAVA et les alertes CVE, consultez la documentation IAVM-to-CVE de la DISA.

Projets

Projets d'intérêt

OpenSCAP
OpenSCAP est un outil qui permet d'exécuter du contenu SCAP. Ce projet est la version en amont de l'outil openscap inclus dans Red Hat Enterprise Linux.
SCAP Workbench
SCAP Workbench propose une interface simplifiée pour la création et la modification de contenu SCAP.
scap-security-guide
scap-security-guide est une initiative commune entre Red Hat, ses clients et plusieurs agences gouvernementales visant à développer du contenu SCAP commun et facile à gérer pour Red Hat Enterprise Linux. Les membres du projet travaillent activement sur le contenu USGCB pour Red Hat Enterprise Linux 6. Vous pouvez utiliser ce contenu avec un outil tel qu'OpenSCAP pour effectuer l'audit de vos systèmes ou transformer le contenu en documentation officielle pour le renforcement de la sécurité. Notre objectif est que ces directives constituent la base des SRG RHEL 6 (STIG) pour le Département de la Défense.
Aqueduct
Aqueduct est un projet parrainé par Red Hat qui vise à créer un pool commun de scripts bash et de manifestes puppet pouvant être appliqués simultanément à différents régimes de sécurité. Vous pouvez, par exemple, utiliser du code pour exiger une longueur minimale de mot de passe selon une directive STIG de la DISA ou une directive SAS-70. Ce projet est très connu pour son guide STIG a RHEL box in 5 minutes.
CLIP (Certifiable Linux Implementation Platform)
L'outil CLIP, qui est un projet de Tresys, simplifie la reconfiguration des machines afin de répondre aux divers régimes de certification et d'accréditation.

Communautés

Des communautés qui peuvent vous aider

gov-sec
La communauté gov-sec parrainée par Red Hat est une liste de distribution modérée pour les professionnels de la sécurité du gouvernement américain.
Military Open Source Working Group
Mil-OSS est une communauté qui regroupe des partisans de l'Open Source au sein du Département de la Défense des États-Unis. Elle n'est en aucun cas affiliée à Red Hat, mais de nombreux utilisateurs de solutions Red Hat en sont des membres actifs. Si les informations de cette page vous intéressent, il y a de fortes chances pour que ce groupe vous plaise. Pour plus d'informations, rendez-vous sur le site Web de la communauté Mil-OSS.
Portail client
Les clients Red Hat ont accès à un très grand nombre d'informations, de bulletins et d'articles portant sur la sécurité via le portail client Red Hat.
Responsables de compte Red Hat
Nous sommes là pour vous aider, pas uniquement pour vous vendre des solutions. N'hésitez pas à contacter le responsable local de votre compte ou l'architecte de vos solutions en cas de questions en matière de sécurité, de conformité ou de configuration minimale.

Critères communs

Les critères communs sont un ensemble de normes internationalement reconnues qui s'appliquent aux produits de sécurité informatique.

FAQ

Que sont les critères communs ?

Les critères communs (CC) constituent une norme internationale (ISO/IEC 15408) pour la certification des logiciels de sécurité informatique. Les systèmes informatiques peuvent être sécurisés, au moyen de « profils de protection », jusqu'à un certain niveau conforme aux critères communs. Établi par plusieurs gouvernements, l'accord de reconnaissance mutuelle de ces critères communs a été signé par 26 pays. Chacun d'entre eux reconnait les certifications des autres pays.

Aux États-Unis, les critères communs sont sous la responsabilité du NIAP (National Information Assurance Partnership). D'autres pays ont eux aussi leurs propres organismes chargés des CC. Ceux-ci certifient des laboratoires qui procèdent à l'évaluation proprement dite des produits selon les critères communs. Une fois la certification obtenue (après vérification des informations communiquées par le laboratoire et le fournisseur), celle-ci est reconnue à l'échelle mondiale.

Chaque certification se voit attribuer un niveau d'assurance bien précis qui, grosso modo, représente le niveau de la certification. La confiance accordée sera plus élevée, par exemple, pour un niveau EAL4 que pour un niveau EAL2. En règle générale, l'acheteur accorde plus d'importance au niveau d'assurance qu'aux profils de protection, sur lesquels porte en fait l'assurance.

La certification CC représente un ensemble très précis de configurations logicielles et matérielles. La version du logiciel, ainsi que le modèle et la version du matériel, ont leur importance car toute différence peut invalider la certification.

Consulter d'autres questions fréquentes