Exportar (0) Imprimir
Expandir todo
Expandir Minimizar

Certificación de criterios comunes de Exchange Server 2003

 

Última modificación del tema: 2009-04-27

Publicación: 15 de noviembre de 2005

La seguridad comienza con un código de software sólido y bien comprobado, y continúa con el proceso seguido para identificar, corregir y actualizar las vulnerabilidades de seguridad y con la auditoría de terceros basada en normativas aprobadas. Debido a esto, Microsoft presentó Microsoft Exchange Server 2003 para que se le hiciera una evaluación profunda e independiente aplicando los nuevos Criterios comunes para la evaluación de la seguridad de la tecnología de la información.

Ratificado como estándar internacional en 1999, los Criterios comunes sustituyen los antiguos esquemas de evaluación, el US TCSEC, que ofreció la conocida clasificación "C2", y el ITSEC europeo. Las naciones que apoyan los Criterios comunes creen que mejorarán la disponibilidad de los productos de TI en los que se ha mejorado la seguridad, ayudarán a los clientes a evaluar productos cuando toman decisiones de compra de software y contribuirán a alcanzar niveles más altos de confianza del cliente en la seguridad del producto de TI.

En este documento se ofrece una descripción de los criterios comunes, las ventajas de la certificación, los escenarios de Exchange Server 2003 que se han certificado y los recursos disponibles para ayudar a configurar y administrar un entorno de Exchange Server 2003 que sea seguro de acuerdo con los Criterios comunes para la evaluación de la seguridad de la tecnología de la información.

El Gobierno federal de Estados Unidos mantiene una serie de criterios para evaluar la seguridad de los sistemas informáticos. Muchas de sus agencias y compañías del sector privado sólo comprarán sistemas que se ajusten a grupos concretos de estos criterios de evaluación. La conocida calificación "C2" del estándar de criterios de evaluación de sistemas informáticos de confianza de EE. UU. (TCSEC, US Trusted Computer Systems Evaluation Criteria) pertenecía a ese nivel. El equivalente europeo al TCSEC, los criterios de evaluación de la seguridad de tecnología de la información (ITSEC, Information Technology Security Evaluation Criteria), especificaba una calificación comparable. Tanto el TCSEC estadounidense como el ITSEC europeo han sido actualizados. Para reflejar la sofisticación aumentada de tecnologías y la necesidad creciente de más estándares internacionales para la evaluación, un grupo de naciones unió sus fuerzas a través de la Organización internacional de normalización (ISO, International Organization for Standardization) para diseñar un nuevo proceso de evaluación de la seguridad, conocido como "Criterios comunes para la evaluación de seguridad de la tecnología de la información" (CCITSE, Common Criteria for Information Technology Security Evaluation). En este documento denominaremos este proceso "criterios comunes".

Según los criterios comunes, las clases de productos (como los sistemas operativos) se evalúan de acuerdo con los requisitos de seguridad funcionales y de garantía de los "perfiles de protección". Estos perfiles pueden desarrollarse y aplicarse a sistemas operativos, firewalls, tarjetas inteligentes u otros productos de los que se puede esperar que se ajusten a los requisitos de seguridad. Por ejemplo, el perfil de protección de acceso controlado se aplica a sistemas operativos y sustituye los antiguos requisitos de evaluación de C2. Los criterios comunes también especifican una serie de niveles de control de calidad (EAL, Evaluation Assurance Levels) para productos evaluados. Un certificado de EAL superior especifica un nivel más alto de confianza en que las funciones de seguridad del producto se realizarán correcta y eficazmente.

Aunque los criterios comunes se ratificaron como estándar en 1999, los largos y rigurosos requisitos de pruebas han sido responsables de que los resultados de las pruebas de los sistemas operativos sometidos a evaluación no hayan estado disponibles hasta ahora. La prueba de Microsoft Exchange Server 2003 se ha completado recientemente y, como resultado, Exchange Server 2003 consiguió (EAL 4 + Systematic Flaw Remediation). La certificación de Exchange Server 2003 cubre el conjunto más amplio de escenarios reales posibles y el nivel más alto de evaluación conseguido.

La existencia de unos criterios comunes afecta a todo el que usa, implementa y administra sistemas de TI.

En primer lugar, ofrecen un nivel de garantía de calidad al permitir a los clientes, entre otras cosas, aplicar un conjunto coherente, riguroso y verificado de manera independiente de requisitos de evaluación de los productos de TI. De esta manera se aumenta el nivel de calidad de los productos que los clientes implementan y se garantiza un nivel más alto de información veraz en la publicidad. Esto no significa que todos los productos que se certifiquen a través de los criterios comunes estén libres de todas las vulnerabilidades de seguridad. Sin embargo, ofrecen una garantía mayor de que el producto es seguro.

En segundo lugar, el programa de criterios comunes ofrece a los clientes una gran cantidad de información, que permite, a su vez, una mayor seguridad en la implementación de los productos evaluados. Los proveedores que adoptan las oportunidades que ofrecen los criterios comunes ayudarán a los clientes a crear sistemas de TI más seguros.

En el resto de este documento se tratarán las ventajas de los criterios comunes y se profundizará en el tema de las evaluaciones específicas llevadas a cabo en Exchange Server 2003. Para finalizar, se ofrece información de los evaluadores orientada a introducir mejoras en los planes de configuración e implementación en entornos reales.

Los países adoptaron los criterios comunes porque reconocieron que la aprobación de un conjunto uniforme de normas de seguridad de TI "aumentaría la disponibilidad de productos de TI con seguridad reforzada". *Estos países también reconocieron que los criterios comunes contribuirían a aumentar la confianza del consumidor en la seguridad de los productos de TI y "mejorarían la eficacia y efectividad presupuestaria" del proceso de evaluación y certificación.**

Los criterios comunes ayudan a tomar decisiones de seguridad fundamentadas de diversos modos:

  • Los clientes pueden comparar sus requisitos con una serie de normas coherentes y universales para determinar el nivel de seguridad que necesitan.
  • Los clientes pueden determinar con más facilidad si productos concretos se ajustan a sus requisitos de seguridad. Ya que los criterios comunes exigen que haya organismos de certificación que preparen informes sobre las características de seguridad de los productos que superan la evaluación, los consumidores disponen de estos informes para juzgar la seguridad de los productos de TI que compiten en el mercado.
  • Los clientes pueden confiar en la evaluación de los criterios comunes porque no dependen de los proveedores, sino de laboratorios de pruebas independientes. Los criterios comunes, sin embargo, se usan cada vez más como un banco de pruebas de compra; por ejemplo, el Departamento de Defensa de EE. UU. anunció el uso exclusivo de los sistemas evaluados con los criterios comunes para productos de seguridad de información.
  • Como los criterios comunes son una norma internacional, ofrecen un conjunto común de estándares que los clientes que operan internacionalmente podrán usar para elegir productos que se ajusten a sus necesidades de seguridad local.

Al ofrecer un conjunto detallado de normas de seguridad, los criterios comunes crean eficazmente un "lenguaje" de seguridad de producto de TI que tanto los proveedores como los consumidores comprenden. Los proveedores pueden usar este lenguaje para describir las características de seguridad incluidas en los productos que han aprobado la evaluación de los criterios comunes. De igual manera, los consumidores pueden usar este lenguaje para identificar y comunicar sus necesidades de seguridad, lo que permite a los proveedores diseñar productos que cubran esas necesidades.

Además, el lenguaje de los criterios comunes permite que los proveedores construyan los productos de TI de forma que sea más sencillo demostrar que respetan los requisitos de seguridad especificados. El proceso de evaluación permite que las evaluaciones de seguridad de un producto las lleve a cabo una tercera parte imparcial.

Microsoft ha apoyado y adoptado los criterios comunes desde el principio. Microsoft presentó Exchange Server 2003 para que fuera evaluado por el TÜV Informationstechnik GmbH (TUViT), un evaluador independiente y acreditado de los criterios comunes. Microsoft y TUViT han trabajado juntos antes: TUViT realizó las evaluaciones respectivas EAL 2 y EAL 4+ de Microsoft Internet Security and Acceleration (ISA) Server 2000 e ISA Server 2004.

Para entender mejor dónde se ajusta EAL 4 dentro de los siete niveles, es útil saber que, según los preparadores de borradores de los criterios comunes, el objetivo son los niveles 5-7 de EAL mediante la evaluación de productos creados con técnicas de ingeniería de seguridad especializada. Como tal, estos niveles son, por lo general, menos aplicables a productos creados con distribución comercial en la mente. EAL 4 representa el nivel más alto en el que los productos no creados para ajustarse a los requisitos de EAL 5-7 tendrían que evaluarse. Para cumplir el requisito de Flaw Remediation por encima de EAL 4, tal y como hizo Exchange Server 2003, el desarrollador/proveedor debe establecer los procedimientos de Flaw Remediation que describen la realización de seguimiento de vulnerabilidades de seguridad, la identificación de acciones correctivas y la distribución de información de acción correctiva a los clientes. Microsoft Security Response Center cumple estos roles para Exchange Server 2003.

Según TUViT: "La evaluación de Exchange Server 2003 según los criterios comunes de EAL 4 abre una nueva dimensión, ya que Exchange Server 2003 es el primer producto de esta clase al que se le concede este nivel de garantía. TUViT está orgulloso de haber cumplido este gran desafío".

Microsoft también ha certificado los siguientes productos:

  • Microsoft Windows Server 2000
  • Microsoft Windows Server 2003 (en curso)
  • Microsoft Windows XP (en curso)
  • Microsoft Windows Certificate Server (en curso)
  • ISA Server 2000
  • ISA Server 2004

Una vez más, una de las ventajas tangibles de la certificación de criterios comunes es que ofrece a los clientes una guía que simplifica la implementación y las operaciones de Exchange Server 2003 en un entorno de red más seguro. Microsoft ha trabajado hacia ese objetivo para garantizar que los datos procedentes de la evaluación de los criterios comunes se presenten de una manera útil y práctica. Como resultado de este trabajo, los clientes disponen de recursos específicos, recursos que presentan de manera significativa recomendaciones de arquitectura y configuración, y prácticas recomendadas. Estos recursos son:

La utilidad "Common Criteria File Checksum Integrity Verifier" de Exchange Server 2003, descrita en la Guía del administrador de configuración evaluada se puede usar para garantizar que los archivos binarios en inglés del sistema se ajusten a los utilizados para la certificación de criterios comunes de Exchange 2003.

Microsoft se comprometió con la optimización de la seguridad de sus productos y servicios. Como parte de ese compromiso, Microsoft apoya el programa de certificación de criterios comunes, lo que se refleja directamente en que el diseño de Exchange Server 2003 se ajusta y cumple los requisitos de seguridad especificados para los sistemas disponibles en el mercado. La iniciativa de Microsoft parte de la convicción de que la evaluación de criterios comunes y el sistema de certificación crean una manera confiable y reconocida internacionalmente para que los consumidores evalúen y tengan confianza en la seguridad de los productos de TI. Al definir normas de seguridad claras y sólidas, y establecer un proceso de evaluación de seguridad independiente, los criterios comunes promueven las ventajas y la eficacia que los entornos informáticos seguros ofrecen a personas, negocios y gobiernos.

Consulte los siguientes recursos para obtener más información:

* Los siguientes países participan en los criterios comunes: Australia, Austria, Canadá, República Checa, Finlandia, Francia, Alemania, Grecia, Hungría, Israel, Italia, Japón, Países Bajos, Nueva Zelanda, Noruega, República de Corea, Singapur, España, Suecia, Turquía, Reino Unido y Estados Unidos. Para obtener más información acerca de los criterios comunes y las naciones que participan en él, consulte Welcome to the Common Criteria portal (página en inglés).

** Arrangement on the Recognition of Common Criteria Certificates in the Field of Information Technology Security, Preamble (May 2000) (http://www.niap-ccevs.org/cc-scheme/cc_docs/ccra.pdf) (página en inglés).

 
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft