home *** CD-ROM | disk | FTP | other *** search

---

/ Power Tools 1993 November - Disc 2 / Power Tools Plus (Disc 2 of 2)(November 1993)(HP).iso / hotlines / gsyhl / dstsecwp / dstsecwp.txt

< prev

next >

Wrap

Text File  |  1993-07-06  |  58KB  |  1,055 lines

---

1.                Secure Open Computing
2.                Strategy For
3.                Global Enterprises
4.                
5.                
6.                A White Paper
7.                
8.                
9.                March, 1993
10.                
11.                General Systems Division
12.                
13.  
14. Table of Contents
15.  
16. 1  Introduction
17. 1.1  Hewlett Packard Commitment to Security
18. 1.2  Purpose and Scope
19. 1.3  Strategy Development Process
20. 2  HP Information Security Vision
21. 3  HP Information Security Value Proposition
22. 4  HP Information Security Strategy and Development Model
23. 4.1  Strategy Principles
24. 4.2  HP Distributed Computing Environment (DCE) Security Strategy
25. 4.2.1  Distributed Computing Environment (DCE) Overview
26. 4.2.2  DCE Security Evolution
27. 4.2.3  Longer-Term DCE Security Evolution
28. 4.2.4  Security Aspects Not Addressed by DCE
29. 4.2.5  Role of Local System Support within DCE Domains
30. 4.2.6  DCE Security Policy Directions
31. 4.3  DCE-Independent Methods to Enhance Computing Environment Security
32. 4.3.1  Enhanced Security Operating System Mechanisms
33. 4.3.2  Application Support Services
34. 4.3.3  System Management Facilities
35. 4.3.4  Networking Elements
36. 4.3.5  Trusted Hardware Components
37. 4.3.6  Alternative APIs for Security Services
38. 4.3.7 Alternative Security Architecture Standards
39. 4.4  Network Planning
40. 5.  Application of HP's Security Strategy:  Case Example
41.  
42. 1  Introduction
43.  
44. 1.1  Hewlett Packard Commitment to Security
45.  
46. Hewlett-Packard continues to establish itself as a strategic information
47. technology supplier to industry leading enterprises worldwide.
48. Increasingly, these large global accounts are adopting open systems on a
49. global scale and new paradigms of computing such as client-server. These
50. trends complicate the job of securing an organization's information
51. assets from unauthorized access.
52.  
53. On the leading edge of these trends are information-intensive market
54. sectors such as financial services and telecommunications.  Typically,
55. organizations in these sectors require a security strategy that supports
56. both the distributed cooperative application model of the future as well
57. as the traditional monolithic application model prevalent today.
58.  
59. HP is committed to delivering security solutions that address the
60. complex security challenges associated with the need to evolve to future
61. distributed computing environments.
62.  
63. 1.2  Purpose and Scope
64.  
65. The objectives of this document are two-fold.  First, this document
66. describes Hewlett-Packard's information security vision and development
67. model for global, distributed, computing environments.  HP calls this
68. vision and model Secure Open Computing.  Critical technology components
69. of HP's model are identified and HP's position relative to technology
70. alternatives are articulated.  Second, this document establishes a
71. framework by which customers can compare and contrast HP's vision,
72. strategy, and technology assessments with that of their own.
73.  
74. 1.3  Strategy Development Process
75.  
76. HP's strategy development process began with the formation of a System
77. Security Council to coordinate the development and implementation of the
78. Secure Open Computing strategy company-wide.  This team consists of
79. marketeers and technologists representing multiple divisions across the
80. company.
81.  
82. HP's strategy is shaped by a number of inputs.  HP is partnering with
83. early adopters of security technology to gain a detailed understanding
84. of customer needs and experience with implementing leading-edge security
85. technologies.  HP's strategy anticipates and integrates technology
86. advances spawned from both internal research and industry innovation.
87. Finally, HP closely monitors competitor and standardization activities
88. to ensure market acceptance of its solutions.
89.  
90. While HP's security vision will remain stable, its strategy for
91. implementation may adjust in response to the pace of technological
92. advances, standardization processes, or changes in customer needs.  HP
93. invites its leading accounts to comment on the strategy articulated in
94. this document to ensure that it reflects their evolving needs.
95.  
96. 2    HP Information Security Vision
97.  
98. The goal of any product strategy is to progress a program towards a
99. clear and stable vision.  Thus, before elucidating on strategy, it is
100. necessary to describe HP's vision of Secure Open Computing.  In general,
101. HP envisions computing solutions with security services that can be
102. characterized as Comprehensive, Configurable, and Usable.  At the same
103. time, HP envisions a security architecture that is consistent with
104. investment protection and business and information technology (IT)
105. Strategic objectives.
106.  
107. COMPREHENSIVE SECURITY
108.  
109. The goal of HP's security solution is to offer a comprehensive set of
110. security services that ensure the availability, integrity and
111. confidentiality of an organization's global information assets.  These
112. information assets can span both legacy and distributed application
113. resources, PC to mainframe class systems, as well as to customer and
114. supplier system interfaces.  Comprehensive security includes the concept
115. of end-to-end (ETE) security of network message and transaction traffic. 
116. ETE security must be implemented such that there is minimal change in
117. the network infrastructure and assurance that the introduction of a
118. single, inherently non-secure component can not compromise the security
119. of the whole network.
120.  
121. Finally, comprehensive security encompasses not only system and software
122. functionality and tools but training, consulting and support, disaster
123. recovery services, and meaningful documentation.  HP anticipates the
124. need to integrate in-house development with security solutions from
125. third-parties so that customers have a degree of choice and access to
126. best-in-class solutions.  Similarly, HP will work with other systems
127. vendors to ensure interoperability and interface consistency where
128. possible.
129.  
130. CONFIGURABLE SECURITY
131.  
132. Security building blocks must be modular and flexible to allow entities
133. to tailor their security implementation to meet the requirements of
134. their particular organization's security policy.  All available security
135. services (i.e., authentication, authorization, confidentiality,
136. integrity, non-repudiation, audit) need the ability to be implemented
137. independently or in any combination.
138.  
139. USABLE SECURITY
140.  
141. Unintentional user mistakes are responsible for as much as 90% of all
142. security breaches.  Most mistakes are caused by the complexity of
143. security facilities and user-interfaces that users with no security and
144. operating system expertise are expected to utilize. Therefore, within
145. the constraints of an individual organization's security policy,
146. security must be unobtrusive to the end-user and should enhance rather
147. than degrade the productivity of end-users whenever possible. For
148. example, smart cards will support a single sign-on capability for
149. end-users to access all authorized resources of the network from
150. anywhere on the network.
151.  
152. Administrators require logically centralized management of security
153. services that are consistent and integrated with a common system and
154. network management framework.  Developers require programming aids and
155. tools for construction, test, and maintenance of secure applications.
156.  
157. STRATEGIC SECURITY
158.  
159. Organizations will evolve their computing infrastructure to more
160. distributed or cooperative paradigms to achieve lower cost of
161. operations, increased productivity and efficiency, or competitive
162. advantage.  HP's security must be complementary and not incongruous with
163. these objectives.  For example, with respect to competitive advantage,
164. HP envisions a security perimeter that can be extended to include both
165. customer and supplier system interfaces, thus removing the security
166. obstacles inherent in entering or developing new markets such as home
167. banking, EDI, enhanced telecommunications services, multi-media, and
168. portable/mobile computing services.
169.  
170. A model for visualizing several key elements of HP's Secure Open
171. Computing vision is offered above.  HP refers internally to this
172. high-level model by the code name UT.  The 'U' represents the secure
173. end-to-end communication between users or processes over a global
174. network.  The 'T' represents the comprehensive family of security
175. services which are administered by consistent network management
176. interface.  This graphic also introduces and defines some fundamental
177. security terminology used throughout this document.
178.  
179. 3    HP Information Security Value Proposition
180.  
181. As HP pursues its vision of Secure Open Computing, HP will sustain four
182. important advantages relative to its competition.  First, HP will
183. maintain industry leadership in driving and implementing international
184. security standards.  In general, HP is among the first to be compliant
185. with new standards and HP technologies are routinely selected as
186. industry standards.  HP has over 300 employees participating in
187. standards committees.
188.  
189. Second, HP will provide integrated security solutions across the
190. broadest range of scalable business servers and devices.  The HP9000
191. family of workstations and business servers based on the HP Precision
192. Architecture (RISC) -- widely regarded in the industry as the broadest
193. scalable family of computing systems -- is suitable for everything from
194. individuals to small work groups to large data center configurations.
195.  
196. Third, HP will provide excellent pre- and post-sales security
197. consulting, training and support.  HP views consulting and support
198. competency to be a critical success factor in its security solution.
199. Over the past nine years of U.S. Datapro surveys, HP has consistently
200. ranked the highest in support and service.  Additional independent
201. research rates HP as a worldwide leader in overall customer support
202. satisfaction, as well as customer satisfaction.
203.  
204. Finally, HP offers early access to cutting-edge business re-engineering
205. building blocks including distributed security technology.  HP is a
206. primary architect and technology contributor to the Open Software
207. Foundation's Distributed Computing Environment (DCE) and Distributed
208. Management Environment (DME).  HP also has significant experience in
209. delivering multi-level secure system and network solutions to the most
210. complex security environments within federal defense and intelligence
211. communities worldwide.
212.  
213. 4    HP Information Security Strategy and Development Model
214.  
215. This section describes HP's Secure Open Computing strategy for global
216. enterprises.  It presents HP's strategy in the context of the model
217. shown below.
218.  
219. The figure illustrates a distributed security model which consists of
220. four conceptual layers in which security can be implemented.
221.  
222.   1. Distributed applications and applications which implement security
223.      policies
224.   2. Distributed security middleware
225.   3. Operating system security
226.   4. System & network hardware security
227.  
228. There are two general schemes to structure and implement security
229. services and technology.  One scheme is represented by the DCE framework
230. as depicted on the right hand side of the figure.  HP has chosen to
231. adopt DCE as its strategic distributed computing and distributed
232. security framework.  HP believes that DCE provides the most
233. comprehensive and flexible approach to providing security in a
234. distributed environment.  This choice, however does not imply the
235. abandonment of or incompatibility with other security environments.
236. However, HP does target DCE and DCE security solutions at customers
237. which are willing to re-engineer parts of their IT business and make the
238. paradigm shift to true client-server computing.  As shown in the figure,
239. the DCE security framework provides the distributed security middleware
240. as well as some elements traditionally the domain of application policy
241. and operating system security.
242.  
243. The other scheme shown on the left essentially represents a piece by
244. piece approach to addressing specific security threats.  It consists of
245. multiple, layered, overlapping solutions which can provide different
246. aspects of security.  For example, Kerberos provides a distributed
247. framework for authentication with a fixed policy but no operating system
248. security elements while RACF provides security at the operating system
249. level with little regard for distributed environments. Similarly,
250. hardware-based encryption devices increase security only at the network
251. communications level.  This approach is viable mainly in computing
252. environments in which a few primary threats have been identified and the
253. preservation of legacy systems and applications is a primary goal in
254. addressing these threats.
255.  
256. HP's leading edge customers are investing in both approaches.  As a
257. result, HP's strategy must address both schemes.  Section 4.1 states the
258. principals or philosophical pillars upon which HP's strategy for
259. addressing either scheme rests.  As a technology provider, HP provides
260. the DCE distributed security framework which is the central technology
261. framework of HP's strategy.  This framework is described in Section 4.2.
262. As a vendor of robust, secure systems and networks, HP provides a
263. variety of operating system security, network security, and add-on
264. security products which complement DCE or are of value in non-DCE
265. environments.  These features are described in Section 4.3.  Finally,
266. Section 4.4 details network planning issues which are relevant to all
267. security conscious customers.
268.  
269. 4.1  Strategy Principles
270.  
271. HP's secure open computing strategy is based on three key principles or
272. success factors.  First, HP will leverage -- and not trade-off -- its
273. traditional strengths in the areas of interoperability, usability,
274. performance, and service & support.
275.  
276. Second, HP is committed to providing application investment protection
277. when migrating to enhanced security environments.  For forward migration
278. of new applications HP's intention is to adopt industry standard APIs.
279. For co-existence of legacy applications with future distributed
280. applications, HP's goal is to provide migration tools and/or application
281. access transparency.
282.  
283. Third, HP is committed to pro-actively submitting and implementing
284. industry and international computing standards including information
285. security-specific standards.  To facilitate multi-vendor secure
286. interoperability HP will work cooperatively with competitors by, for
287. example, hosting interoperability forums or engaging in joint
288. development activities.
289.  
290. 4.2  HP Distributed Computing Environment (DCE) Security Strategy
291.  
292. HP has identified DCE as a critical strategic framework for delivering
293. future open distributed computing solutions.  HP believes that DCE will
294. set a de facto standard for secure distributed computing in a
295. multi-vendor environment.  As a result, HP is committed to providing DCE
296. on both the HP-UX and MPE/ix operating system platforms.
297.  
298. HP's strategy to provide Secure Open Computing is multi-faceted.  First,
299. HP will continue to be a leader in implementing and evolving the basic
300. DCE security features described in the next section.  The following
301. sections 4.2.2 and 4.2.3 describe the near-term and longer-term strategy
302. for enhancing DCE to provide increased service levels, extensibility to
303. future and legacy systems, and additional facilities such as DCE
304. auditing.  Section 4.2.4 exposes HP's position on security services
305. which currently remain outside the definition of DCE such as
306. non-repudiation facilities.  HP will invest in local system capabilities
307. identified in section 4.2.5 which complement the level of security
308. service provided by DCE such as encryption/integrity hardware for
309. performance and smart card support for safe key distribution/storage and
310. two-factor authentication.  Section 4.2.6 describes future directions
311. for integrating additional security policies into DCE.  Finally, Section
312. 4.3.7 describes a  security architecture alternative to DCE.
313.  
314. 4.2.1  Distributed Computing Environment (DCE) Overview
315.  
316. The DCE security component is a set of services and facilities that
317. provide distributed applications with a trustworthy mechanism for
318. controlling access to application resources.  The fundamental pieces of
319. the security component are (1) a logically centralized registry of user
320. information and privileges; (2) a common authorization model across
321. disparate applications; (3) integral facilities for inter-domain
322. administration and connectivity; (4) integral facilities for
323. communication integrity and confidentiality; and (5) a hierarchical
324. design of security services that provide high availability and
325. robustness in the presence of partial system failures.
326.  
327. The DCE user registry is an extension of the distributed name system
328. that specializes in storing user security information.  The logon
329. sub-system of DCE accesses the repository and provides users with a
330. single identity across all systems.  Authentication of the user's
331. identity is performed using the Kerberos Version 5 authentication
332. protocol.
333.  
334. Access to services in the DCE is controlled through the use of access
335. control lists (ACLs).  DCE ACLs are a superset of the draft POSIX ACL
336. specification -- extending the basic functionality with provisions for
337. multiple administrative domains and for use by services other than
338. conventional file systems.  This facility provides a common model for
339. authorization across all basic DCE services as well as end-user
340. developed applications.
341.  
342. The protection of resources (e.g., files, database objects, etc.)  via
343. ACLs is only meaningful when the application exporting the resource can
344. reliably determine the identity of the caller.  The DCE remote procedure
345. call (RPC) facility is integrally connected with the security component
346. to provide mutual client/server authentication of identity. Applications
347. can additionally request that data transmitted via the RPC be protected
348. with either secure integrity or confidentiality protocols.
349.  
350. Security is an essential service of the DCE and is therefore implemented
351. in a robust, highly available manner.  In a distributed environment,
352. robustness is not simply a matter of careful coding.  Partial failures
353. due to network outages or scheduled maintenance are a part of normal
354. operations.  A robust distributed service is one that continues to
355. operate, possibly with some limitations, in the presence of these
356. failures.  DCE uses a hierarchical and redundant approach to providing
357. security services.  The logically centralized security service is
358. replicated so that network partitions do not prevent applications from
359. obtaining necessary security information.  Client machines retain enough
360. data from the network service to allow them to provide local services to
361. users in the event that the network is completely unavailable.
362.  
363. 4.2.2  DCE Security Evolution
364.  
365. The evolution of DCE falls into two broad categories.  In the short term
366. DCE is maturing though the completion and improvement of features
367. present in the base design.  In the longer term additional features are
368. added to the environment to extend its suitability to broader
369. application domains.  HP's strategy calls for key efforts in both areas
370. and HP is collaborating with others to define long-term extensions for
371. DCE.
372.  
373. Replication of the user registry database is the primary short term
374. enhancement to the DCE security service.  This facility is crucial to
375. the creation of large distributed environments -- protecting the
376. environment from the vagaries of partial failures.
377.  
378. 4.2.3  Longer-Term DCE Security Evolution
379.  
380. The OSF has solicited proposals in the form of requests for comments
381. (RFCs) to help define the future of DCE.  This process has been very
382. successful, and has resulted in a number of contributions to the OSF by
383. HP and others in the DCE community.  HP's contributions are in the areas
384. of Extensibility to Legacy Systems, Delegation, Inter-domain Access, and
385. Stronger Authentication.  Other vendor proposals are in the areas of
386. Non-RPC Application Integration, Auditing, and Public Key Support. 
387. These directions are described next as well as HP's Security Management
388. direction for DCE (as well as Non-DCE) environments.
389.  
390. EXTENSIBILITY TO LEGACY SYSTEMS
391.  
392. Extensibility of the data associated with a user or server identity is a
393. key concern for both supporting legacy systems and for adding additional
394. authorization models.  HP has submitted DCE-RFC 6 defining a facility 
395. for maintaining and verifying arbitrary attributes, such as application
396. or local operating system specific authorization data (e.g., legacy UIDs
397. and passwords), in the DCE Account Registry.  This extension will also
398. make possible the implementation of a single logon facility that
399. embraces legacy applications and non-UNIX derived operating systems.
400.  
401. DELEGATION
402.  
403. The base DCE environment provides mechanisms for clients and servers to
404. perform mutual authentication.  In complex environments, however,
405. servers will frequently need to access the services of other servers to
406. perform the request of the client.  Delegation or proxy provides a
407. mechanism for chaining services requests securely.  HP's DCE-RFC 3
408. provides a model for chaining identities and enhancements to the
409. authorization model to reflect chained identities.
410.  
411. INTER-DOMAIN ACCESS
412.  
413. Hierarchical designs provide robustness in the implementation of the
414. security server.  This strategy can also be used to reduce the
415. management burden of access across administrative domains. HP's DCE-RFC
416. 7 defines the trust relationships between administrative domains when
417. those domains form a hierarchy in the DCE global name space.
418.  
419. STRONGER AUTHENTICATION
420.  
421. Stronger authentication protocols protect users from password guessing
422. attacks.  HP's DCE-RFC 26 elaborates existing Kerberos protocol features
423. to protect users from network password guessing attacks.  These protocol
424. enhancements are coupled with changes to the user registration service
425. so that password guessing attacks can be detected and so that the
426. security system can take corrective action as attacks occur.
427.  
428. NON-RPC APPLICATION INTEGRATION
429.  
430. Extensions to the DCE security environment have also been proposed by
431. other suppliers.  DEC has proposed to broaden the applicability of the
432. DCE security environment to non-RPC applications through the use of the
433. GSSAPI -- a general interface to distributes security services.  GSSAPI
434. provides an API for performing mutual authentication and the integrity
435. and confidentiality protection of data without pre-supposing a
436. communication strategy.  This addition makes it easier to integrate
437. existing applications that use existing network and communication
438. facilities into DCE by not requiring the application re-engineering with
439. RPC.  DEC has further provided DCE-RFC 5 which defines extensions to the
440. GSSAPI to make it work with DCE's authorization data, privilege
441. attribute certificates (PACs).  This extension strengthens the appeal of
442. GSSAPI by allowing non-RPC distributed applications to also participate
443. in the DCE authorization model.
444.  
445. AUDITING
446.  
447. Accountability is essential in many environments.  The OSF is
448. considering two competing proposals for the addition of auditing
449. facilities to DCE.  The OSF itself has proposed adding an auditing
450. facility in DCE-RFC 25 that would initially audit events in the base
451. security relevant DCE components.  IBM has submitted a broader proposal
452. in DCE-RFC 28 and 29 to provide a more general facility appropriate for
453. use in customer applications.  The likely adoption of either model will
454. strengthen the DCE and provide a convenient mechanism for key DCE
455. services to integrate with local system auditing facilities in addition
456. to the DCE-wide auditing foreseen in these proposals.
457.  
458. PUBLIC KEY SUPPORT
459.  
460. A vendor consortium focusing on distributed security called SESAME --
461. which includes Bull, ICL, and Siemens-Nixdorf -- has proposed a number
462. of extensions in DCE-RFC 19.  These extensions would begin the
463. integration of public key support in DCE.  Public key (or asymmetric
464. key) protocols are valuable when providing secure offline electronic
465. document interchange and long-term digital signature and notarization
466. services.  Inclusion of these protocols in the DCE will provide a common
467. framework for supporting these services and in certain cases will aid
468. cryptographic key distribution.  In addition this proposal provides a
469. mechanism for supporting multiple encryption algorithms in DCE.
470.  
471. SECURITY MANAGEMENT
472.  
473. Simplifying administration is a critical concern for the DCE community
474. in general, and centralized management facilities are a crucial element
475. of HP's strategy for managing DCE and non-DCE environments in
476. particular.  Work in this area therefore involves, first, simplifying
477. the administration of existing and planned individual security
478. facilities.  For example, OSF's DME project has begun to examine
479. strategies for sharing access control lists (ACLs) among many objects. 
480. Roles have also been considered as a means to segment and simplify the
481. administration of these objects.  A role model is proposed in DCE-RFC
482. 19.
483.  
484. The next step is to develop a common centralized management framework
485. within which individual security facilities can be integrated.  In this
486. area HP is investigating the utilization of its OpenView network and
487. system management framework to manage DCE security services as well as
488. DCE-independent security applications and general administration tasks. 
489. OSF's DME, which is based heavily on HP's OpenView technology,
490. represents HP's distributed security management long-term direction.
491.  
492. OpenView and its DME descendent are ideal technologies for integrating
493. individual security facilities into a common security management
494. framework due to their object-orientation.  The characteristics of
495. object manipulation (e.g., inheritance, containment, association)
496. naturally facilitate the integration of security administration
497. attributes.  HP is actively prototyping OpenView based security
498. administration tools to demonstrate these concepts.  Productization
499. plans will follow.
500.  
501. 4.2.4  Security Aspects Not Addressed by DCE
502.  
503. Some important security services remain outside the definition of DCE.
504. These service areas are by no means less important than the areas where
505. DCE is currently evolving, but they present difficulties for inclusion
506. in an open software environment, or are being defined and developed in
507. other fora.  Examples include non-repudiation facilities, long term
508. digital signature, notary services, and trusted X protocols.
509.  
510. Non-repudiation facilities, long-term digital signature, and notary
511. services protect against users denying having sent or received an
512. electronic message.  These services are of particular interest to
513. financial services providers that need to protect the integrity of
514. financial transactions against fraud.  However, these services are
515. examples of technology that is constrained in use due to licensing
516. issues.
517.  
518. Trusted X protocols are required to protect user interfaces based on the
519. X-window system from a threat which they are currently vulnerable to
520. called spoofing.  A trusted path for X environments is required to
521. ensure that users have a direct and distinct communication path to the
522. DCE authentication system.  It prevents malicious attempts to capture a
523. users password through the use of programs or physical system interfaces
524. designed to trick or spoof users into supplying passwords at fake
525. prompts for authentication secrets (e.g., passwords at logon prompts,
526. PIN numbers at ATM prompts).  Trusted X protocols are being pursued by
527. both the X Consortium and the Trusted System Interoperability Group
528. (TSIG) which HP co-founded and also are being examined by the OSF
529. Security SIG.
530.  
531. 4.2.5  Role of Local System Support within DCE Domains
532.  
533. DCE provides a framework for deploying distributed applications. The
534. success of the environment is not only dependent on the distributed
535. security services of DCE, but also on the integration and support of
536. local system security features.  DCE provides a logically centralized
537. repository for system security information, but it does not obviate the
538. need for local security features.  Adequate local system security is
539. crucial to the viability of the DCE environment.  Moreover, the design
540. of DCE allows the interconnection of machines with varying strength of
541. local security.  Vital data repositories and application servers should
542. run on machines that provide strong local operating system and physical
543. security.
544.  
545. Besides strong local operating system security features, other local
546. system features which can complement the level of security provided by
547. DCE include smart card integration which can relax the level of trust
548. required in client machines to safely store sensitive information such
549. passwords and encryption keys; system management tools to protect
550. against trojan horses or viruses in local file system nodes; and
551. hardware to increase the performance of data integrity checks and data
552. encryption of DCE applications.  Because all of these facilities can
553. complement the level of security in non-DCE environments as well, these
554. facilities are discussed in more detail in section 4.3 which addresses
555. DCE-independent methods to enhance computing environment security. HP's
556. strategies and activities in these areas are also described.
557.  
558. 4.2.6  DCE Security Policy Directions
559.  
560. The primary goal of DCE is to enable the development and deployment of
561. distributed applications.  Generally, the DCE security component avoids
562. implementing policy constraints; it simply makes the definition of
563. policy possible.  It is, however, helpful to extend the DCE facilities
564. to simplify the construction of applications applying security policies.
565. Common policy facilities sought after in the commercial environment
566. include separation of duty facilities; shared ACL repository and access
567. validation server; and additional environmental considerations such as
568. access control to objects based on variables such as location of request
569. and time-of-day.
570.  
571. 4.3  DCE-Independent Methods to Enhance Computing Environment Security
572.  
573. Prior to the proliferation of DCE systems, millions of non-DCE systems,
574. applications, and security schemes will have been deployed as
575. illustrated in the security model graphic found at the introduction of
576. Section 4.  In most cases the security of these legacy approaches is
577. much less than desired for future open distributed computing
578. environments.  Although stronger security is available in DCE, most
579. existing applications will not be revamped to take direct advantage of
580. DCE's security services.  This section discusses some of the
581. DCE-independent methods available from HP or third-party partners to
582. enhance the security of existing environments and without modifying
583. existing applications.  They include utilizing enhanced security
584. operating system mechanisms, application support services, system
585. management facilities, trusted hardware components, and networking
586. elements.  Other methods are described that can be applied to the task
587. of enhancing the security of new non-DCE applications, as opposed to
588. existing non-DCE applications.  They include implementing alternative
589. (i.e., non-DCE) APIs for security services.
590.  
591. 4.3.1  Enhanced Security Operating System Mechanisms
592.  
593. Enhanced computing environment security can be achieved through
594. operating system level features which may be implemented on DCE or
595. non-DCE nodes.  In the case of DCE nodes, this functionality may enforce
596. a local system policy which complements the level of security provided
597. by DCE, as eluded to in section 4.2.5 above.  Alternatively, this
598. functionality may be obviated by corresponding functionality available
599. or planned for DCE as stated earlier in section 4.2.6.  For non-DCE
600. nodes, however, this type of security represents the traditional data
601. center approach to providing security in a typical standalone
602. host-terminal configuration.  Because HP will continue to sell systems
603. into these environments, HP' strategy includes a parallel investment in
604. operating system level facilities for securing the individual
605. stand-alone node regardless of whether or not that node is slated for
606. integration within a DCE environment.
607.  
608. HP has already enhanced the security level of its HP-UX operating system
609. with features that are designed to exceed the U.S. Department of Defense
610. National Computer Security Center (NCSC) Orange Book criteria for a C2
611. rating.  These enhancements include an auditing sub-system which
612. improves user accountability by logging all security relevant system
613. events; access control lists (ACLs) which provides increased flexibility
614. in authorizing or restricting file access at the granularity of an
615. individual user; and a protected password database to thwart password
616. guessing attacks.  HP has similarly enhanced the level of security in
617. the MPE/ix operating system and is in the process of evaluation with the
618. NCSC targeting a C2 rating.
619.  
620. Future HP-UX operating system level enhancements are in the areas of
621. Password Management, Logon Restrictions, and System Administrator Roles.
622. HP plans to deliver the password management and logon restriction
623. functionality in the next major release of its HP-UX operating system. 
624. System administrator roles will be offered just as soon as the POSIX
625. standard for least privilege crystallizes.  In fact, HP has implemented
626. a super-set of these features in an enhanced security version of HP-UX
627. called HP-UX BLS (B-Level Security).
628.  
629. HP-UX BLS addresses the more complex multi-level security needs typical
630. in federal government and defense-related communities which process
631. sensitive information and is in the final (Formal) phase of evaluation
632. by the NCSC targeting a B1 rating.  HP's strategy is to leverage its
633. investment in security features already implemented in the HP-UX BLS
634. release stream that are of interest to HP's mainstream commercial
635. accounts -- such as HP-UX BLS password management and logon restrictions
636. -- by migrating these features to HP-UX over time.
637.  
638. PASSWORD MANAGEMENT
639.  
640. Commercial customers realize that user authentication achieved through a
641. robust password management mechanism is the first line of defense
642. against unauthorized system and data access.  Password management
643. mechanisms have been specified by a number of emerging commercial
644. security criteria as a minimum requirement for commercial password
645. management sub-systems (e.g., NIST Minimum Security Functionality
646. Requirements for Multi-User Operating System (MSFR)). They include
647. password generation functions which provide a random pronounceable
648. system generated password option to ensure that all users use effective
649. passwords; password screening which checks user selected passwords
650. against a number of password criteria for complexity and guessability;
651. and password aging mechanisms for setting minimum/maximum password
652. lifetimes.
653.  
654. LOGON RESTRICTIONS
655.  
656. Logon restrictions or system-level access controls provide commercial
657. customers with the increased flexibility they require to control system
658. access based on attributes such as time-of-day or terminal ID rather
659. than simply User ID.  In addition, administrators need the capability to
660. automatically and temporarily disable terminal IDs and/or user accounts
661. based on logon attempts threshold, password or account lifetime expiry, 
662. or account inactivity (i.e., dormant accounts). Logon restrictions have
663. also been specified by a number of emerging commercial security criteria
664. as a minimum requirement for commercial system level access controls.
665.  
666. SYSTEM ADMINISTRATION ROLES
667.  
668. System administration roles enforce the age-old security precept of
669. separation of duty in order to limit the degree of system control
670. entrusted to any individual.  Examples of roles include system manager,
671. security administrator, system operator, etc.  In a Unix environment
672. this implies eliminating the need for the monolithic and all-powerful
673. super-user privilege and replacing it with more narrowly defined sets of
674. privileges.  Super-user privilege is especially dangerous in Unix
675. environments because direct logons are  not uniquely identified, and as
676. a result accountability for actions is lost.  A least privilege model,
677. which supports the principle that each subject should be given no more
678. privilege than absolutely required to perform its intended function,
679. represents the preferred approach to implementing system roles
680. effectively.  A least privilege model for open systems is not practical
681. today due to the immaturity of the emerging standard for privilege
682. definition.  Nevertheless, secure administrator interfaces (e.g., menus,
683. restricted shells) which limit administrators to predefined tasks can be
684. utilized today.  However, this approach does not provide the same level
685. of assurance as a least privilege model.
686.  
687. 4.3.2  Application Support Services
688.  
689. Application support services can be implemented above the operating
690. system level to enhance the security of non-DCE domains which host
691. distributed applications.  Non-DCE distributed-applications tend to use
692. conventional networking services provided by communication software
693. libraries (e.g., TCP/IP, SNA, SPX/IPX, or X.400 messaging).  Enhancing
694. the default security of these services is one way of bringing
695. applications into a more secure distributed environment without
696. modifying the applications which use them.  For example, it is possible
697. to force TCP/IP connections to be encrypted providing near end-to-end
698. privacy.  This approach may be attempted with any runtime libraries that
699. support existing applications.  HP's strategy is to follow the
700. recommendations of the Internet Engineering Task Force (IETF) for
701. enhancing the security capabilities of both TCP/IP and the Simple
702. Network Management Protocol (SNMP II) which is built upon TCP/IP.
703.  
704. Legacy applications may use a variety of other application support
705. services.  They may be based on vendor supplied de facto standards or
706. custom built ad hoc solutions.  Also, they may be operating system or
707. environment based (e.g., database security features like Views, Novell 
708. network logon).  On an individual basis, interfaces may be designed to
709. integrate these methods into a more standard security facility (e.g.,
710. X.509) or even into remote DCE security services.
711.  
712. In some cases vendors will be evolving these interfaces from their
713. proprietary approach to a more standard security methodology.  For
714. example, leading relational database vendors are delivering secure
715. database engines which utilize the security facilities of selected
716. standards-based secure operating systems.  Both Oracle  and Informix 
717. have selected HP's trusted (B-Level) secure Unix-based operating system,
718. HP-UX BLS, as the reference platform to base National Computer Security
719. Center evaluations of their B1-Level secure database offerings.
720.  
721. 4.3.3  System Management Facilities
722.  
723. Another approach to improving general computing environment security is
724. to implement system management facilities which either provide a
725. security assessment function or integrated system management facilities
726. which encompass security audit and control as well most general system
727. administration tasks.
728.  
729. SECURITY ASSESSMENT TOOLS
730.  
731. These tools can offer consolidated network security assessment, risk
732. analysis, security policy or baseline exception-condition reporting,
733. monitoring, and automatic correction facilities thereby dramatically
734. reducing the time and expertise required to maintain and improve
735. security in distributed environments.  These security assessment
736. software products generally focus heavily on file system attributes
737. which if not set securely can leave the system vulnerable to a number of
738. threats including unauthorized use, viruses, and trojan horse attacks. 
739. Security assessment software can also include error log analysis,
740. configuration guidelines, password administration, process inventory,
741. and networking profiles.  This software can be run on demand or
742. continuously depending on performance and administration overhead
743. sensitivity.
744.  
745. HP's strategy is to ensure that the leading independent software vendor
746. products that perform these functions are available on HP hardware
747. platforms.  Examples of such products which HP-UX currently supports
748. include the Security Toolkit from Raxco Systems and SecureMax from Demax
749. Software.
750.  
751. INTEGRATED SYSTEM MANAGEMENT TOOLS
752.  
753. Some system management add-on products are much more ambitious with
754. regard to the scope of security and system management facilities they
755. offer than the security assessment software products just described. 
756. They include IBM's Resource Access Control Facility  (RACF) and Computer
757. Associates Top Secret  and ACF2  for data center environments and
758. CA-Unicenter  which has been ported to the HP-UX platform.  For example,
759. CA-Unicenter for HP-UX supplants most of the security controls built
760. into HP-UX such as the logon sub-system, file system access controls,
761. and auditing sub-system as well as most other general system management
762. facilities such as performance, storage, production, as well as security
763. audit and control management.
764.  
765. Computer Associates is in the process of evolving this management
766. architecture to support distributed, multi-vendor environments.  HP's
767. strategy is to offer this approach to customers that wish to down-size
768. from larger IBM mainframe systems while retaining familiar system
769. management concepts and interfaces.  For customers willing to
770. re-engineer their global computing architecture, HP provides the
771. flexibility and scalability of DCE.
772.  
773. The graphic below illustrates how the traditional system security model
774. for HP-UX (right-middle portion of graphic) compares with the mainframe,
775. data center approach as exemplified by the CA-Unicenter product for
776. HP-UX (far-right portion of graphic).  Note, the traditional system
777. security model for HP-UX consists of built-in operating system level
778. security features (as described in Section 4.3.1), a system
779. administration environment, and add-on security assessment tools.  This
780. contrasts with the CA-Unicenter architecture which spans all three
781. security layers depicted in the model.
782.  
783. 4.3.4  Networking Elements
784.  
785. While the previous sections focused on efforts to improve security via
786. on-host mechanisms, this section addresses off-host approaches based on
787. the communication components (e.g., bridges, multiplexors, modems,
788. routers) that comprise the network.  Enhancing the security of these
789. elements or adding link security devices (e.g., link encryption devices)
790. can usually be accomplished transparently with respect to existing
791. applications.  Furthermore, these methods generally can continue to be
792. used even with the introduction of higher level security methods such as
793. end-to-end encryption (ETE).  If all applications were using ETE
794. encryption link encryption of course would be redundant.  However, in
795. cases where existing applications and systems cannot be enhanced with
796. ETE or near-ETE encryption, link encryption would certainly improve
797. confidentiality of these applications.  HP supports third-party link
798. encryption devices which provide this level of service.  It is generally
799. recognized, however, that ETE encryption is clearly the best solution
800. whenever achievable.
801.  
802. There are many other security enhancements that can be added at the link
803. level besides encryption.  For example, bridge filter tables can be used
804. to segregate network traffic by source or destination address.  Routers
805. can filter traffic based on message type, and higher level addressing
806. such as the Internet or Novell network address protocol (XPI).  Once
807. again these methods generally do not interfere with the introduction of
808. security methods such as ETE encryption.  HP is adding these type of
809. security services as well as link encryption capabilities to its bridge
810. and router product lines.  In addition, modems are available from
811. third-parties with dial-back, password, or encryption capabilities, to
812. strengthen remote sign-on user authentication.
813.  
814. A significant disadvantage of using network elements to enhance the
815. security of a distributed application lies in the area of
816. administration.  The simple task of adding a new PC or workstation to a
817. work group illustrates this point.  The administrator must perform all
818. of the normal account setup activities on relevant servers and clients.
819. Often this has been automated because of the repetitive nature of the
820. task.  However, if the bridge filtering technique had been deployed as
821. described above, then the administrator must include the ethernet
822. address of the new PC or workstation in the bridge filter table or else
823. the new node will not be able to communicate with the servers.  Thus,
824. required knowledge of ethernet addresses and network topologies
825. complicate otherwise routine account set up tasks.  HP's DCE provides a
826. centralized management framework for distributed security which may
827. obviate the need for network security elements.
828.  
829. 4.3.5  Trusted Hardware Components
830.  
831. Security of both DCE and non-DCE systems can be enhanced by means of
832. trusted hardware components.  Encryption hardware and smart cards are
833. two examples of this type of component.  HP is actively developing
834. encryption hardware which is integrated with and complementary to its
835. smart card support plans.
836.  
837. Encryption hardware provides a highly trusted facility in which keys can
838. be stored and in which highly optimized encryption and decryption
839. services can be performed.  The software and/or hardware that carry out
840. these services can be trusted to protect against unauthorized
841. modification or trojan horse attacks.  This level of trusted key storage
842. and performance is required to successfully support digital signature,
843. message authentication, and data encryption activities in untrusted
844. systems.
845.  
846. Smart cards provide a low cost but trusted facility that can be used to
847. strengthen weak parts of the authentication process such as user
848. selected passwords.  They can also be used to assist in the digital
849. signature process.  Their tamper resistant features together with their
850. nature as personal device make them a socially acceptable security
851. enhancement for the mobile user community.  While today's smart cards
852. tend to be single purpose cards there is a good deal of interest in
853. developments that make use of multi-purpose smart cards which could
854. support system-usage accounting and chargeback controls, software
855. license controls, as well as security access controls.
856.  
857. 4.3.6  Alternative APIs for Security Services
858.  
859. The previous sections focusing on non-DCE environment security
860. emphasized methods to avoid modification of existing applications.  This
861. section examines non-DCE facilities that are useful to application
862. developers who choose to include certain security features in their
863. applications.  First, there are APIs available for accessing general
864. security services (e.g., GSS, CCS, TSS).  These APIs are available in
865. packages from some vendors today.  HP is driving for the emergence of a
866. standard API and will implement this API in its product offerings.
867.  
868. Second, there are some product specific APIs available for accessing
869. specific security features.  For example, widely adopted products can
870. establish defacto standard APIs for particular security services (e.g.,
871. Kerberos authentication services, RSA encryption services).  The range
872. of products available in this area is growing quickly.  They are often
873. attractive to organizations that have identified one or two key security
874. threats. However, an administration and interoperability problem becomes
875. apparent as more and more threats are identified and more security
876. products are integrated.  Since there is no standardization effort in
877. this area, interoperability of these various security solutions is very
878. much a custom process.
879.  
880. HP recommends that before following this path, it is wise to select an
881. umbrella security architecture standard (e.g., X.509, DCE, RACF) into
882. which independent solutions can be integrated.
883.  
884. 4.3.7 Alternative Security Architecture Standards
885.  
886. The Directory based authentication framework (X.509, ISO9594-8) is an
887. example of a standard that can be used to support an enterprise security
888. architecture.  Since the directory holds information that is needed for
889. communication protocols and is accessed prior to communicating, it is a
890. natural place to store, distribute, and maintain authentication
891. information.  X.509 describes some specific attributes necessary to
892. support simple and strong authentication, however, this is an extensible
893. facility and other security attributes can be defined.  The most
894. significant attribute specified in X.509 is the user's certificate -- a
895. collection of information about a user that is produced by a trusted
896. certification authority.
897.  
898. The certificate is important in that it provides an internationally
899. standardized means to disclose a user's public key.  As mentioned
900. previously, support for public key cryptography is fundamental to most
901. modern authentication schemes.  Both the certificate content and its use
902. are extensible to support a specific enterprise security policy without
903. impacting open systems interoperability.  Furthermore, the certification
904. authority necessary to create certificates requires adaption to the
905. enterprises specific corporate structure.
906.  
907. The viability of using X.509 to support enterprise security
908. architectures depends on the growth and availability of Directory
909. products.  Although X.509 can be considered as an umbrella enterprise
910. security architecture, HP's position is that the DCE architecture is a
911. more comprehensive solution for integrating alternative security
912. environments including X.509.
913.  
914. 4.4  Network Planning
915.  
916. Planning for security enhancements is an important first step and can be
917. carried out even when budgets are tight and ideal solutions have not yet
918. matured.  The planning process should begin with a projection of
919. organizational requirements for IT.  In the 90's these requirements
920. generally reflect aggressive distributed computing services that offer
921. competitive performance and flexibility.  Security may or may not be
922. included in an organization's outlook for IT growth.  HP's position is
923. that security should be included in IT planning and offers consulting
924. services to assist with this activity.
925.  
926. If DCE is chosen as the future environment for an enterprise then the
927. DCE security framework can be used for network planning of security
928. services.  Even if the entire enterprise does not uniformly deploy DCE,
929. the DCE security framework can be used as the overarching security
930. architecture for the non-DCE components.  Network planning would then
931. include identification of interfaces between the non-DCE systems and the
932. DCE security services.  There will be environments where DCE services
933. will not be accessible or where a non-DCE security framework has been
934. chosen as the overarching architecture (e.g., X.509).  Network planning
935. in these cases will involve designing of the interfaces required to
936. integrate various security solutions into the chosen architecture.
937.  
938. Network planning for security should include an assessment of emerging
939. security related technologies and their impact on improving distributed
940. computing.  For example, smart cards can provide strengthened
941. authentication and support for digital signature even in very untrusted
942. systems like PCs.  In many commercial business sectors the cost of smart
943. card integration is being defrayed by the savings from reduction in
944. fraud and misuse.  Once again, planning is important in understanding
945. how smart cards would be introduced, used, and administered in any given
946. application environment.
947.  
948. Network planning also must consider solutions and activities which are
949. not technology driven such as security policy development; user
950. awareness, education, and training; physical security options; and
951. network configuration techniques.  For example, traditional network
952. configuration techniques such as firewalling can be used to protect a
953. trusted local area network while preserving a level of remote
954. communication.  Within the security perimeter of a LAN, users may
955. communicate freely.  But, all messages sent to or from users outside the
956. network must pass through a firewall or gateway computer, that checks,
957. routes, and labels information passing through it.  In sum, HP can bring
958. to bare the power of consulting and technological solutions to address
959. customer security needs.
960.  
961. 5    Application of HP's Security Strategy:  Case Example
962.  
963. The previous sections of this white paper describe HP's security vision
964. and implementation strategy.  This section offers an example of how HP's
965. security vision and model can be used to meet a specific customer
966. requirement for a consolidated logon process.
967.  
968. CONSOLIDATED LOGON PROCESS
969.  
970. A consolidated logon process provides user authentication at a network
971. entry point.  Users engage in a single logon dialog with the network
972. security service.  Once users are authenticated, they may access a
973. variety of applications and servers without additional logon dialog.
974.  
975. The figure illustrates an approach to consolidated logon which utilizes
976. proposed extensions to the DCE user registry facility.  It provides a
977. mechanism to incorporate existing applications into the DCE environment. 
978. This approach assumes that the network entry point system supports DCE.
979.  
980. As shown in the figure, the various proof mechanisms for all networked
981. systems are collected into a Security Registry.  The Security Registry
982. contains all the security relevant attributes of the various users.
983. These attributes may include information such as account identifiers
984. (user ids) and passwords for legacy systems and applications.  The
985. Security Registry is based on enhancements to DCE currently planned for
986. DCE 1.1 and described in OSF DCE SIG RFC 6.0 - A Generic Interface for
987. Extended Registry Attributes.  The current DCE 1.0 repository stores the
988. network privilege attributes used by DCE as well as local account
989. attributes usable by UNIX operating systems.  The enhancements planned
990. for DCE 1.1 provide a mechanism for storing user and group attributes
991. for arbitrary operating systems.  These attributes may be used to
992. implement a consolidated logon process.
993.  
994. Network access is controlled by a specialized logon client which is a
995. DCE application.  This logon client may run on any system which supports
996. DCE including PCs running PC-DCE from Gradient Technologies.  Users
997. access the logon client either directly via the workstation display or
998. attached terminal or indirectly from a non-DCE client via some trusted
999. protocol outside the scope of DCE.  The logon client processes the
1000. security attributes received from the Security Registry.  These
1001. attributes include standard DCE security attributes as well as user and
1002. group attributes such as user ids and passwords for legacy operating
1003. environments.  The logon client passes these security attributes to
1004. various application and client processes via operating system specific
1005. mechanisms.  Legacy applications can be supported in the consolidated
1006. logon environment in a number of ways.  A variety of possibilities are
1007. examined below in the order of increasing modification to the
1008. application.  In all cases there is no need to change the application's
1009. security model.
1010.  
1011. 1. Local applications.  These applications run on the same system as
1012.    the DCE logon client.  Security attributes are passed to them via
1013.    standard operating system mechanisms.  No changes are made to
1014.    the legacy application.
1015.  
1016. 2. Existing Remote Legacy Applications.  These are applications
1017.    which are already distributed and have their own protocol for
1018.    transmitting authorization data.  For these applications, user
1019.    account/password attributes are passed to the applications via some
1020.    non-RPC network interface.  The attributes are used to provide
1021.    operating system or application specific authentication and
1022.    authorization, possibly using some scripting mechanism.  For
1023.    example, HLLAPI may be used to pass logon information to an
1024.    existing IBM application.  No changes need to be made to these
1025.    applications.
1026.  
1027. 3. Encapsulated Legacy Applications.  These are legacy
1028.    applications which run on a system which supports DCE.  These
1029.    applications are encapsulated in a DCE Wrapper which provides
1030.    remote access to the application.  Extended security attributes for
1031.    these applications are passed in a standard DCE PAC (Privilege
1032.    Attribute Certificate).  The wrapper function processes the remote
1033.    request and sets the local O.S. environment to reflect the legacy
1034.    attributes.  The legacy application is then invoked by the DCE
1035.    wrapper in the normal local manner.  No changes are made to the
1036.    legacy application.
1037.  
1038. 4. Client/Server Legacy Applications.  These are existing
1039.    client/server applications which use some non- RPC communications
1040.    mechanism such as LU 6.2 or Berkeley Sockets.  The GSS API
1041.    described in OSF DCE SIG RFC 5.0 (if available on the legacy
1042.    platform) may be used to add security features to these applications.
1043.  
1044.    The security features offered are analogous to those which DCE
1045.    offers to RPC-based applications.  The legacy application retains its
1046.    existing communications model but adds the use of GSSAPI to
1047.    achieve secure transmission of authorization data and for the
1048.    integrity or confidentiality protection of the communication.
1049.  
1050. 5. Re-engineered DCE Applications.  These applications use
1051.    standard DCE mechanisms for communication.  Remote interfaces
1052.    are designed to use RPC.  Extended security attributes for these
1053.    applications are passed in a standard DCE PAC (Privilege Attribute
1054.    Certificate).
1055.