Indústrias

Governo: padrões

Certificações e credenciamento

Facilitando os processos de certificações e credenciamento

A Red Hat está empenhada em tornar seu processo de certificação e credenciamento o mais fácil possível. Os recursos abaixo devem ajudá-lo a cumprir uma variedade de requisitos do governo.

Certificações

Solução Versão Nível Perfil de proteção Plataforma Status
JBoss® Enterprise Application Platform 4.3 EAL2 -- Avaliado
JBoss Enterprise Application Platform 5 EAL4+ -- Avaliado
Red Hat JBoss Enterprise Application Platform 6.2 EAL4+ -- Avaliado
MetaMatrix Data Services Platform 5.5.3 EAL2+ -- Avaliado
Red Hat Certificate System 6 EAL4+ CIMC Avaliado
Red Hat Certificate System 8.1 EAL4+ CIMC Avaliado
Red Hat Enterprise Linux 4 EAL3+ CAPP Avaliado
Red Hat Enterprise Linux 4 EAL4+ CAPP Avaliado
Red Hat Enterprise Linux 5 EAL4+ CAPP/RBACPP/LSPP Avaliado
Red Hat Enterprise Linux 5 EAL4+ com virtualização KVM Avaliado
Red Hat Enterprise Linux 6 EAL4+ OSPP, incluindo segurança rotulada, auditoria avançada, gerenciamento avançado e módulos estendidos de virtualização Avaliado
Red Hat Enterprise Linux 6 EAL4+ OSPP, incluindo segurança rotulada, auditoria avançada, gerenciamento avançado Avaliado
Red Hat Enterprise Linux 6 EAL4+ 32 bits. OSPP, incluindo auditoria avançada.
  • Servidor 309-C20213 do PCE (Payload Control Element; Elemento de Controle de Carga Útil) da Northrop Grumman (relatório, meta)
Avaliado
Red Hat Enterprise Linux 7 EAL4+ OSPP v2.0, OSPP v3.9
  • Família de servidores Dell PowerEdge 13G
  • Dell Precision Rack 7910
  • Servidores HP DL, BL, ML e SL, gerações G7, Gen8 e Gen9, com processadores Intel Xeon de 64 bits
  • Servidores HP DL, BL, ML e SL, gerações G7 e Gen8, com processadores AMD Opteron de 64 bits
  • IBM System z baseado em processadores z/Architecture: zEnterprise EC12 (zEC12), zEnterprise BC12 (zBC12), zEnterprise 196 (z196), zEnterprise 114 (z114)
  • IBM System p baseado em processadores Power 8 que fornecem ambientes de execução com RHEV para Power 3.6 e PowerVM: Big Endian com PowerVM: Power 835 modelo 8286-41A, Little Endian com RHEV para Power 3.6: Power 835 modelo 8284-22A
Em avaliação (ID #BSI-DSZ-CC-0949)

Padrão de Processamento de Informações Federais 140-2 (FIPS 140-2)

O Padrão de Processamento de Informações Federais 140-2 garante que ferramentas de criptografia implementem seus algoritmos corretamente. Há diversos artigos relacionados com o FIPS 140-2 no Portal do Cliente Red Hat. Você encontrará uma lista completa de todos os certificados FIPS 140-2 no site do NIST CMVP. Os certificados da Red Hat são os seguintes:

Solução Componente Versão Certificado Status
Red Hat Enterprise Linux 4 NSS 3.11.4 815 Certificado, Nível 1
Red Hat Enterprise Linux 4 NSS 3.11.4 814 Certificado, Nível 2
Red Hat Enterprise Linux 4 NSS (Freebl) 3.12.4 1293 Certificado, Nível 1
Red Hat Enterprise Linux 4 NSS 3.12.4 1280 Certificado, Nível 2
Red Hat Enterprise Linux 5 API Criptográfica do Kernel 1.0 1387 Certificado, Nível 1
Red Hat Enterprise Linux 5 libgcrypt 1.0 1305 Certificado, Nível 1
Red Hat Enterprise Linux 5 NSS 3.11.4 815 Certificado, Nível 1
Red Hat Enterprise Linux 5 NSS 3.11.4 814 Certificado, Nível 2
Red Hat Enterprise Linux 5 NSS (Freebl) 3.12.4 1293 Certificado, Nível 1
Red Hat Enterprise Linux 5 NSS 3.12.4 1280 Certificado, Nível 2
Red Hat Enterprise Linux 5 Cliente OpenSSH 1.0 1385 Certificado, Nível 1
Red Hat Enterprise Linux 5 Servidor OpenSSH 1.0 1384 Certificado, Nível 1
Red Hat Enterprise Linux 5 OpenSSL 1.0 1320 Certificado, Nível 1
Red Hat Enterprise Linux 5 Openswan 1.0 1386 Certificado, Nível 1
Red Hat Enterprise Linux 6 API Criptográfica do Kernel 2.0 1901 Certificado, Nível 1
Red Hat Enterprise Linux 6 API Criptográfica de Volume de Disco 2.0 1933 Certificado, Nível 1
Red Hat Enterprise Linux 6 libgcrypt 2.0 1757 Certificado, Nível 1
Red Hat Enterprise Linux 6 Cliente OpenSSH 2.0 1791 Certificado, Nível 1
Red Hat Enterprise Linux 6 Servidor OpenSSH 2.0 1792 Certificado, Nível 1
Red Hat Enterprise Linux 6 OpenSSL 2.0 1758 Certificado, Nível 1
Red Hat Enterprise Linux 6 Openswan 2.0 1859 Certificado, Nível 1
Red Hat Enterprise Linux 6 NSS (Freebl) 3.12.9.1 1710 Certificado, Nível 1
Red Hat Enterprise Linux 6 NSS 3.12.9.1 1837 Certificado, Nível 1
Red Hat Enterprise Linux 6 OpenSSL 3.0 2441 Certificado, Nível 1
Red Hat Enterprise Linux 6 Servidor OpenSSH 3.0 2446 Certificado, Nível 1
Red Hat Enterprise Linux 6 Cliente OpenSSH 3.0 2447 Certificado, Nível 1
Red Hat Enterprise Linux 6 NSS 3.14.3-22 2564 Certificado, Nível 2
Red Hat Enterprise Linux 6 API Criptográfica do Kernel 3.0 2582 Certificado, Nível 1
Red Hat Enterprise Linux 7 OpenSSL 4.0 2441 Certificado, Nível 1
Red Hat Enterprise Linux 7 Servidor OpenSSH 4.0 2630 Certificado, Nível 1
Red Hat Enterprise Linux 7 Cliente OpenSSH 4.0 2633 Certificado, Nível 1
Red Hat Enterprise Linux 7 libgcrypt 4.0 2657 Certificado, Nível 1

USGv6 (DOD IPv6)

Red Hat Enterprise Linux 5 e 6 são certificados no USGv6, que substituiu os requisitos da versão 6 do Protocolo de Internet (IPv6) do Departamento de Defesa (DOD).

Fase 2 do IPv6 Ready Logo

RHEL 5.3 ou posterior RHEL 6.0 ou posterior
Protocolos principais: Host Certificado Certificado
Protocolos principais: Roteador Certificado
IPsec: Nó terminal Certificado Certificado
SNMP: Agente-Host Certificado
DHCPv6: Servidor Certificado

Lista de produtos testados do governo americano versão 6 (USGv6)*

RHEL 5.6 ou posterior RHEL 6.0 ou posterior
Básico (Conf: v1.2, IOP: v1.1) Certificado Certificado
SLAAC (Conf: v1.1, IOP: v1.1) Certificado Certificado
Addr Arch (Conf: v1.2, IOP: v1.1) Certificado Certificado
ESP (Conf: v1.0, IOP: v1.1) Certificado
IKEv2 (Conf: v1.1, IOP: v2.0) Certificado
IPSECv3 (Conf: v1.2, IOP: v1.2) Certificado

* Lista de dispositivos testados do USGv6 para Red Hat, Inc.

STIG (Secure Technical Implementation Guidelines; Diretrizes de Implementação Técnica Segura) da DISA (Defense Information Systems Agency; Agência de Sistemas de Informações de Defesa)

Todos os sistemas do DOD devem atender aos requisitos STIG antes de serem implementados. Veja abaixo uma lista de documentos de orientação que podem ajudar você a satisfazer os requisitos STIG.

Solução Orientação Status
JBoss Enterprise Application Platform 4 -- --
JBoss Enterprise Application Platform 5 A lista de verificação NIST NVD JBoss é a base do futuro STIG. Esboço. Consulte a seção "Guia de segurança SCAP".
Red Hat JBoss Enterprise Application Platform 6 -- Em desenvolvimento. Consulte a seção "Guia de segurança SCAP".
Red Hat Enterprise Linux 4 Use o esboço da orientação do RHEL 5. Será necessário trabalho adicional para essa orientação. Final
Red Hat Enterprise Linux 5 http://iase.disa.mil/stigs/os/unix-linux/Pages/red-hat.aspx Esboço
Red Hat Enterprise Linux 6 -- Consulte a seção "Guia de segurança SCAP".

Lei de Gestão de Segurança de Informações Federais (FISMA)

Todas as agências federais devem estar em conformidade com a FISMA, e a Red Hat trabalha para tornar esse processo o mais simples possível. Ler o Conteúdo da USGCB é uma ótima maneira de começar.

FedRAMP

O FedRAMP é uma variação do processo da FISMA para provedores de cloud. Assim como a FISMA, a USGCB é um ótimo lugar para começar para questões de conformidade. Você também pode estar interessado em falar com a Red Hat sobre o nosso Certified Cloud Provider Program.

ICD 503 / NSSI 1253, Instrução do DOD 8500.2

A Diretiva da Comunidade de Inteligência 503 descreve um sistema para credenciamento de sistemas de segurança nacional. Da mesma forma, a Instrução do DOD 8500.2 descreve os requisitos para sistemas de defesa. As orientações sobre como cumprir a ICD 503 (e, por conseguinte, a NIST 800-53) podem ser encontradas no projeto do Guia de Segurança SCAP.

Capítulo 8 do NISPOM

Você pode encontrar orientações sobre como cumprir os requisitos do Capítulo 8 no artigo da base de conhecimento, Capítulo 8 do Manual de Operação do Programa de Segurança Industrial Nacional (NISPOM).

Acessibilidade da seção 508

A seção 508 exige que as agências do governo garantam que seu software seja acessível por pessoas com deficiência. A Red Hat oferece suporte a esses requisitos com os Modelos de Acessibilidade de Produto Voluntários abaixo.

Solução Versão VPAT
Red Hat Enterprise Linux 4 VPAT para RHEL 4
Red Hat Enterprise Linux 5 VPAT para RHEL 5
Red Hat Enterprise Linux 6 VPAT para RHEL 6
Red Hat Enterprise Linux 7 VPAT para RHEL 7
Red Hat Network Satellite Server 5 VPAT para RHN Satellite Server 5
Red Hat Network Satellite Server 6 VPAT para RHN Satellite Server 6
Red Hat JBoss Enterprise Application Platform 6 VPAT para JBoss EAP 6.0
Red Hat OpenShift 3 Red Hat OpenShift 3
Red Hat CloudForms 3 Red Hat CloudForms 3
Red Hat Gluster Storage 3 Red Hat Gluster Storage 3

Certificado do Exército Americano (CON, Certificate of Networthiness)

O Army Networthiness (NW) fornece uma avaliação operacional de todos os sistemas, aplicativos e dispositivos para determinar a capacidade de suporte, sustentabilidade, interoperabilidade e conformidade com a legislação federal, o DOD e as normas e os mandatos do Exército. A Norma do Exército AR 25-1, parágrafo 6-3(c), declara que todas as atividades devem obter um Certificate of Networthiness (CON) antes da conexão de hardware ou software com o LandWarNet (LWN).

O Army NW determina se um aplicativo ou sistema é capaz ou digno de ir para a rede corporativa do Exército, além de ajudar o Exército a atingir seu objetivo de estabelecer uma linha de base padrão, estabelecendo e utilizando contratos de licença corporativos.

O NW foi desenvolvido para evitar implantações não gerenciadas de software e hardware. Ele também serve como uma forma de garantir que aplicativos e hardware que se conectam ao LWN sejam interoperáveis e não danifiquem outros sistemas na rede através da introdução de novas ameaças.

O Certificate of Networthiness se aplica a todas as organizações que implementam, usam ou gerenciam ativos de TI no LandWarNet:

  • Todos os aplicativos (incluindo COTS)
  • Todos os softwares do governo prontos para uso (GOTS)
  • Todos os serviços web
  • Ferramentas e serviços de colaboração
  • Sistemas táticos
  • Sistemas novos, legados e implementados

A lista de software com CONs aprovadas é identificada no site do Programa de NW do Exército (necessário login AKO).

Linha de Base de Configuração do Governo Americano (USGCB)

A USGCB fornece uma configuração de segurança mínima para produtos de software. A Red Hat trabalhou em estreita colaboração com várias agências do governo dos EUA nesta orientação, que proporciona um excelente ponto de partida para a orientação específica de agência/programa.

Solução Conteúdo Status
Red Hat Enterprise Linux 5 O conteúdo e as ferramentas de configuração da USGCB estão disponíveis no NIST. Esboço
Red Hat Enterprise Linux 6 O conteúdo está sendo desenvolvido ativamente no projeto do guia de segurança scap no Fedora. Em desenvolvimento

Protocolo de Automação de Conteúdo Seguro (SCAP)

O SCAP é um conjunto de requisitos de configuração para leitura na máquina. Você pode fornecer conteúdo SCAP para ferramentas SCAP, que farão a auditoria da conformidade de seus sistemas. A ferramenta OpenSCAP é enviada com o Red Hat Enterprise Linux 5 e 6, e você pode encontrar nosso conteúdo SCAP listado na seção Linha de Base de Configuração do Governo Americano desta página.

Linguagem de Avaliação e Vulnerabilidade Aberta (OVAL)

O OVAL é um padrão de segurança que ajuda a descrever vulnerabilidades de segurança de maneira uniforme. A Red Hat ajudou a fundar o padrão em 2002, e nossa equipe Red Hat Product Security produz conteúdo OVAL para todos os alertas de segurança da Red Hat. Para obter mais informações, consulte as Perguntas Frequentes sobre o OVAL do Red Hat Product Security.

Enumeração de Vulnerabilidade Comum (CVE)

A CVE fornece um identificador comum para falhas conhecidas em software. O banco de dados da CVE é administrado pela MITRE. Se uma CVE é emitida para as soluções Red Hat, incluímos uma declaração do fornecedor com informações sobre como corrigir essa vulnerabilidade. Para obter mais informações, consulte Como saber se um nome de CVE afeta um pacote do Red Hat Enterprise Linux? no Portal do Cliente Red Hat.

Alertas de Vulnerabilidade de Garantia de Informações (IAVA)

IAVAs são semelhantes às CVEs e fornecem instruções para o pessoal do DOD sobre como proteger seus sistemas. O mapeamento IAVM para CVE da DISA pode ser muito útil.

Projetos

Projetos de interesse

OpenSCAP
OpenSCAP é uma ferramenta para a execução de conteúdo SCAP. O projeto é o upstream da ferramenta openscap que é enviada no Red Hat Enterprise Linux.
SCAP Workbench
O SCAP Workbench fornece uma interface mais simples para criação e edição de conteúdo SCAP.
Guia de segurança SCAP
O guia de segurança SCAP é um esforço conjunto entre a Red Hat, nossos clientes e diversas agências governamentais para desenvolver um conjunto comum e gerenciável de conteúdo SCAP para o Red Hat Enterprise Linux. O projeto está trabalhando ativamente no conteúdo da USGCB para o Red Hat Enterprise Linux 6. Você pode usar esse conteúdo com uma ferramenta como o OpenSCAP para auditar seus sistemas ou transformar o conteúdo em documentação formal de reforço da segurança. Nossa ambição é que essa orientação forme a base do RHEL 6 SRG (STIG) para o DOD.
Aqueduct
Aqueduct é um projeto patrocinado pela Red Hat para criar uma base comum de scripts bash e manifestos puppet que podem ser aplicados a muitos regimes de segurança diferentes ao mesmo tempo. Assim, por exemplo, um código para garantir um tamanho mínimo de senha pode ser usado em um requisito STIG da DISA ou em um requisito SAS-70. Eles são famosos pelo guia STIG a RHEL box in 5 minutes (STIG para um pacote do RHEL em cinco minutos).
Certifiable Linux Implementation Platform (CLIP)
A ferramenta CLIP, um projeto da Tresys, simplifica a reconfiguração de máquinas para atender a uma variedade de regimes de certificação e credenciamento.

Comunidades

Comunidades que podem ajudar

gov-sec
A comunidade gov-sec patrocinada pela Red Hat é uma lista de discussão moderada para profissionais de segurança do governo dos Estados Unidos.
Grupo de Trabalho de Open Source Militar (Mil-OSS)
O Mil-OSS é uma comunidade de entusiastas em open source no DOD. Ele não é afiliado à Red Hat de maneira alguma, mas muitas pessoas da Red Hat são membros ativos. Caso você se interesse por qualquer uma das informações desta página, há uma boa chance de você apreciar este grupo. Visite o site do Mil-OSS para obter mais informações.
Portal do Cliente
Os clientes da Red Hat têm acesso a uma grande quantidade de informações de segurança, boletins e artigos da base de conhecimento no Portal do Cliente Red Hat.
A equipe de contas da Red Hat
Estamos aqui para ajudá-lo, e não apenas para oferecer nossas soluções. Sinta-se à vontade para perguntar ao seu executivo de conta local ou ao arquiteto de soluções, caso você tenha alguma dúvida sobre segurança, conformidade ou requisitos de configuração.

Common Criteria

Common Criteria é uma certificação reconhecida internacionalmente para produtos de garantia de informações

Perguntas Frequentes

O que é Common Criteria?

Common Criteria (CC) é um padrão internacional (ISO/IEC 15408) para certificar softwares de segurança de computadores. Com o uso de Perfis de Proteção, os sistemas de computador podem ser protegidos em certos níveis que atendem aos requisitos expressos pelo Common Criteria. Estabelecido pelos governos, o Acordo de Reconhecimento de Critérios Comuns (CCRA, Common Criteria Recognition Arrangement) foi assinado por 26 países, sendo que cada um reconhece as certificações alheias.

Nos EUA, o Common Criteria é controlado pela Parceria de Garantia de Informação Nacional (NIAP, National Information Assurance Partnership). Outros países têm suas próprias autoridades do CC. Cada autoridade certifica os laboratórios do CC, que realizam o real trabalho de avaliar produtos. Com base em evidências do laboratório e do fornecedor, a certificação gerada é reconhecida mundialmente.

Sua certificação recebe um nível específico de garantia que, a grosso modo, representa o valor e força da certificação. A confiança é mais alta em um nível EAL4 do que no EAL2 para uma certificação. Geralmente, presta-se mais atenção ao nível de garantia ao que especificamente está sendo garantido, que são os chamados perfis de proteção.

A certificação CC representa um conjunto bem específico de configurações de software e hardware. As versões de software e o modelo e versão do hardware são importantes, pois as diferenças rompem a certificação.

Consulte as perguntas frequentes