Kriittisen tietoliikenteen suojaukseen – Insta SafeLink
Suomen Sotilas | 20.11.2015 |
Artikkeli
Suomen Sotilaan ja Maanpuolustuksen osto-oppaan ilmoittaja esittäytyy:
Insta SafeLink -salausratkaisu on ensimmäinen ja ainoa kotimainen, turvakriittisiin ympäristöihin suunniteltu salaustuote, jonka Viestintävirasto (NCSA-FI) on hyväksynyt suojaustasolle ST III (luottamuksellinen). Ratkaisua käyttävät Puolustusvoimien lisäksi muut viranomaiset, valtionhallinnon toimijat sekä yritykset, joilla on tarvetta korkean turvallisuustason tietoliikenneratkaisuille.
Installa on tietoturva-alalta yli 30 vuoden kokemus. Kumppanien kautta tietoturvatuotteitamme on toimitettu yli 40 maahan. Salaustuotteiden osalta Puolustusvoimille on vuosikymmenten saatossa kehitetty mm. puheensalain ja linjasalain, jotka ovat olleet käytössä aina viime päiviin saakka. Teknisen kehityksen myötä Puolustusvoimilla tuli tarve IP-pohjaiseen salaustuotteeseen ja keskustelut uuden salainjärjestelmän kehittämisestä aloitettiin Instan kanssa. Täysin uuden salausjärjestelmän kehittäminen aloitettiin vuonna 2006.
Konsepti perustuu salattuihin IPsec tunneleihin. Niiden avulla muodostetaan salattuja virtuaaliverkkoja (VPN, Virtual Private Network) ja yhteyksillä voidaan liittää useita toimipisteitä toisiinsa turvallisesti esimerkiksi internetin yli.
Periaatekuva SafeLink -salainverkosta
Insta SafeLink -järjestelmä koostuu salainlaitteista ja hallintajärjestelmästä, jolla hallitaan laitteiden tarvitsemat tietoliikenneasetukset sekä salausavaimet. Järjestelmän työasemaohjelmiston (VPN Client) avulla yksittäisestä kannettavasta tietokoneesta voidaan ottaa turvallinen yhteys VPN-verkkoon.
Hallintajärjestelmään kuvataan haluttu tietoliikenneverkko korkealla abstraktiotasolla. Kun hallintajärjestelmän tiedossa ovat kaikki verkkoon kuuluvat SafeLink-laitteet ja niiden kautta kulkevat palvelut, voidaan kullekin laitteelle generoida automaattisesti juuri kyseisen laitteen tarvitsema tietoliikennekonfiguraatio ja liikennöinnin tarvitsemat salausavaimet. Hallintajärjestelmän käyttäjän ei tarvitse olla syvällinen tietoliikenneosaaja vaan ohjelmisto tuottaa oikean konfiguraation lähtötietojen perusteella. Hallintajärjestelmä ohjaa käyttäjää tekemään oikeita määrityksiä sekä varoittaa konfigurointivirheistä.
Insta SafeLink –järjestelmän ohjelmisto ja laitteisto ovat keskeisiltä osiltaan Instan suunnittelemia. Salauslaitteessa on hyödynnetty lisäksi valmiita kaupallisia komponentteja, esimerkiksi virtalähde, mutta turvaominaisuudet on toteutettu laitetta varten suunnitelluilla piirikorteilla.
Ominaisuudet vaativaan käyttöön
Vaikka salaustoiminto on Insta SafeLink -laitteessa pääroolissa, toimivat laitteet myös reitittiminä , esimerkiksi BGP ja OSPF –reititysprotokollille. Yhtenä erottavana tekijänä muista salaustuotteista on SafeLinkin tuki salatulle multicast-liikenteelle. Ominaisuutta ei ole juuri ennen tavattu korkean turvatason laitteissa ja myös tämä ominaisuus on saanut NCSA-FI:n (Viestintävirasto) ST III hyväksynnän.
Suunnittelussa on otettu huomioon vikasietoisuus, luotettavuus ja uhkaskenaarioihin varautuminen. Laitteet voidaan kahdentaa, jolloin laitteen vikaantuessa toinen laite ottaa hoitaakseen liikenteen välittämisen. Myös verkonhallinta- ja avaintenhallinta voidaan tarvittaessa hajauttaa usealle palvelimelle ja fyysisesti eri paikkoihin. Laitteessa on mekanismit fyysisen tunkeutumisen havaitsemista varten ja laite voidaan lukita paikoilleen asennuskehikkoonsa. Tarvittaessa avainmuisti voidaan tyhjentää painonapin kautta.
Insta SafeLink -salauslaite
Hallintajärjestelmä varmistaa mm. käyttäjäroolitusten ja toimikorttien avulla sen, että vain valtuutetut henkilöt voivat tehdä tiettyjä operaatioita ja että kaikissa tilanteissa varmistetaan avainmateriaalin salassa pysyminen. Avainmateriaali voidaan toimittaa laitteelle joko muistitikulla tai vahvasti salatulla verkkoyhteydellä.
Insta on kehittänyt monipuolisen testausjärjestelmän mahdollistamaan järjestelmän testauksen laajoissa verkoissa. Isojen verkkojen simulointia varten ja järjestelmän testauskäyttöön SafeLink-laiteohjelmisto voidaan virtualisoida. Suurimmassa testiympäristössämme on satoja virtualisoituja SafeLink-laitteita yli tuhat multicast ja unicast –yhteyttä.
Puolustusvoimien tarpeisiin salaimesta on kehitetty versio myös vaativia erikoisolosuhteita varten.
Insta SafeLink -järjestelmän käyttöönotto
Järjestelmä voidaan ottaa käyttöön useilla eri tavoilla. Asiakas voi hankkia itselleen kaiken tarvittavan, kuten laitteet, hallintajärjestelmän ja sulkulistapalvelimet, ja hoitaa verkkojen rakentamisen sekä ylläpidon itse. Puolustusvoimilla on tämä malli käytössä.
Toinen vaihtoehto on palvelumalli. Tällöin Insta valvoo ja ylläpitää asiakkaan SafeLink-verkkoa ja salauslaitteet ovat asiakkaan toimipisteissä. Asiakkaan hyötyliikenne ei kierrä Instan kautta vaan ainoastaan laitteiden etähallintaliikenne ohjataan Instan käyttöpisteelle. Myös tämä palvelumalli on NCSA-FI:n hyväksymä tasolle ST III.
Lupaamme järjestelmälle pitkän, yli kymmenen vuoden, elinkaaren. Tämä on lupaus, jonka harva toimittaja antaa – ja etenkään pitää.
Insta DefSec Oy
Insta DefSec Oy on osa Insta-konsernia. Olemme luotettava suomalainen tietojärjestelmä- ja palveluyritys. Toteutamme vaativia johtamis- ja tilannekuvajärjestelmiä sekä kyber- ja tietoturvaratkaisuja. Asiakaskuntaamme kuuluvat puolustus- ja turvallisuussektori, viranomaiset sekä korkeaa turvallisuustasoa edellyttävät yritykset.
http://www.security.insta.fi/
[email protected]
Avainsanat:
puolustusvälineteollisuus,
Puolustusvoimat,
tietoturva
Lähde: Suomensotilas
Sinänsä en ihan hirveästi yllättyisi jos nuo jutut olisikin tosia.
