\documentclass[a4paper,10pt]{article}

 \usepackage[utf8x]{inputenc}

 \usepackage{a4wide}

 \usepackage{graphicx}

 \usepackage{eurosym}

 \usepackage{latexsym}

 \usepackage{textcomp}

 \usepackage{fancybox}

 \usepackage{microtype}

 \usepackage{listings}

 \usepackage{setspace}

 \linespread{1.1}

 \parskip=4pt

 \begin{document}

 \title{Security by Isolation Prinzipien in der öffentlichen Verwaltung \\[1em]

 \large{Sanfte Migration zu virtualisierten Anwendungen bei bestehenden Betrieb im Rahmen des Open Security Projekts}

 }

 \author{Mihai Bartha, Oliver Maurhart\\

 AIT Austrian Institute of Technology

 }

 \maketitle

 \begin{abstract}

 Das Open Security Projekt integriert ``Security by Isolation'' Techniken in die öffentliche Verwaltung. Hauptaugenmerk liegt dabei auf den Schutz gegen Viren und Trojaner beim unbedarften und sorglosen Umgang mit dem Internet, Schutz gegen Infektionen mit Malware beim Laden von Dokumenten von Datenträgern wie USB-Sticks und ähnlichen sowie Schutz vor der unbeabsichtigten Veröffentlichung vertraulicher Informationen. Die Integration der Schutzmaßnahmen erfolgt dabei unaufdringlich in eine bestehende IT Infrastruktur ohne die vorhanden und verwendeten domainspezifischen Lösungen und Einrichtungen zu gefährden. Wir zeigen in dieser Arbeit wie eine sanfte Überführung und Migration einzelner bestehender Anwendungsfälle im großen Maßstab im öffentlichen Bereich mit Hilfe von Open Source bei gleichzeitigen Betrieb erfolgen kann. Die angestrebte Lösung richtet sich nach dem Security by Isolation Ansatz aus mittels diesem Applikations- und Systemgrenzen definiert werden um potentielle Schadsoftware einzugrenzen.

 \end{abstract}

 \section{Motivation}

 Outgoing scenario

         Protect sensible data

         Secure interaction with the internet with removable storage devices

 Jede Organisation muss ihre IT-Infrastruktur vor internen und externen Gefahren schützen. Besonders davon betroffen sind auch öffentliche Institutionen, welche private Bürgerdaten wie Strafregister, Krankengeschichte und Meldedaten oder für die Staatssicherheit relevante Informationen verwalten. 

 Wie Einzelfälle und Statistiken belegen\footnote{WELCHE?}, kommt es aber immer wieder und zunehmend häufiger zu Vorfällen, bei denen private Daten in falsche Hände geraten. Solche Daten können in kürzester Zeit weltweit über das Internet verteilt werden, was schnell zu Worst-Case-Szenarien führen kann. So können beispielsweise private Adressen von Polizeibeamten ihren Weg zu kriminellen Organisationen finden oder private Gesundheitsdaten in die Hände potenzieller zukünftiger Arbeitgeber.

 Durch die sensible Natur dieser Informationen, sind die Nutzer solcher öffentlichen Einrichtungen oft zu geschlossenen und sicheren lokalen Netzwerk gedrängt. Diese Systeme verfügen oft über keinen Zugang zum Internet (WWW) oder über Anschlüsse für tragbare  Speichermedien (TSM) um den sorgfältigen Umgang mit diesen Daten zu gewährleisten.

 Das von der FFG\footnote{Österreichische Forschungsförderungsgesellschaft} geförderte Open Security\footnote{http://www.opensecurity.at} Projekt bietet eine Lösung, die Angestellten davor schützt, kritische oder sensible Daten ungewollt preiszugeben. Dieser Schutz beläuft sich auf den Verlust oder den Diebstahl von Datenträgern (z.B. USB-Sticks) und den Befall des Rechners oder Notebooks von Viren, Trojanern und dergleichen. Dabei soll jeder Computer oder Terminal einer Organisation so ausgestattet werden, dass unkontrollierter Datenaustausch verhindert wird. 

 Bei diesem Projekt kommt erschwerend zur Aufgabenstellung hinzu, dass die Zielumgebung ein heterogenes Anwendungs- und Systemspektrum aufweist, keines der betroffenen Systeme völlig neu aufgesetzt werden darf und ein Rollout zentral gesteuert auf mehreren Rechnern, möglicherweise entfernt in parallel, stattfindet.

 Unser Lösungsansatz im Open Security Projekt ist eine Client Architektur, die sicherstellt, dass alle auf tragbare Geräten gespeicherten Daten basierend auf einem Digital Rights Management automatisch verschlüsselt werden. Persönliche Daten von BürgerInnen können ausschließlich verschlüsselt auf Festplatten, optischen oder USB-Speichern sowie externe Netzlaufwerken gespeichert werden. Durch Open Security soll jeder Computer oder Terminal einer Organisation unabhängig von seinem Betriebssystem davor geschützt werden, unkontrollierten Datenaustausch zuzulassen. Das Einbringen oder das Mitnehmen von elektronischen Daten durch die Benutzer soll, im Sinne des Institution und des Benutzers selbst so erfolgen, dass es zu keinem Schaden oder Missbrauch kommen kann. Der gestohlene Laptop, der verlorengegangene USB-Speicher oder das verlegte Mobile Device (wie Tablet-PC oder Smartphone) sollen zukünftig außer dem materiellen keinen weiteren Schaden verursachen.

 Im Fall, dass Hardware (z.B. ein Notebook) oder Speichermedien (z.B. ein USB-Stick) verloren gehen oder gestohlen werden, sind keine sensiblen unverschlüsselten Daten gefährdet. Wurden dennoch sensible Daten preisgegeben, was aufgrund von Richtlinien genehmigt werden kann, dann rekonstruiert die Kontrollkette aus den aufgezeichneten Datenströmen den Ereignispfad. Anhand der Informationen aus einem zentralisierten Logging kann nachvollzogen werden, welche Daten die Organisation verlassen haben und auf welchem Weg (z.B. durch welchen Benutzer, Medium).

 Die Innovation von Open Security besteht in der Verbindung des DLP\footnote{ERKLÄRUNG}-Ansatzes mit einer zentralen Management-Lösung und einer ``Security by Isolation'' Architektur.

 Das Internet, als dicht vernetztes Gefüge untereinander verbundener Geräte, bietet eine ideale Angriffsfläche für sich selbst replizierenden Schadcode. Aus diesem Grund ist Anti-Virensoftware ein zentraler Bestandteil jeder Sicherheitsstrategie. Eine solche Lösung ist stark abhängig von Signatur-Updates und schützt nur vor bekannten Malware. Nicht entdecktes Malware kann als erstes den Update-Mechanismus des Antivirus deaktivieren um später nicht entdeckt zu werden.

 \section{Security by Isolation}

 Im Open Security Projekt werden die ``Security by Isolation'' Konzepte angewendet um mögliche durch Malware verursachten Schaden entgegenzuwirken und die eine zentralisierte oder lokale Anti-Virus Architektur mittels Virtualisierung implementiert und durchsetz. 

 The idea behind "Security by Isolation" consists in splitting a system into subsystems separated from oneanother so that the malfunction/failure of one subsystem does not affect the others. Partitioning the system into meaningfull subsystems and setting apropriate permissions is one of the main challenges. The OpenSecurity approach is to mediate user interactions with unsafe resources (internet, removable storage, viewing unsafe content) by means of subsystems isolated through virtualization. Making use of virtualization enables the implementation of a solution portable across most current desktop operating systems. 

 \section{Architektur}

 From the OpenSecurity perspective two main security zones can be identified and will be referred to throughout the present document. Safe Network (SN) is the corporate network of the demand carrier. The user’s interaction is currently limited to this network because of the sensible nature of the information and data he is dealing with. The SN is considered to be a trusted and secure through isolation from the outside world. Because of the sensible nature of the information (data), there are very strict access restrictions to external resources. Securing the interaction with unsafe resources (RSDs and internet) can be brought down to several main challenges.

 1.	Mediate and orchestrate the interaction with unsafe resources.

 2.	Protect the Safe Network from malware.

 3.	Protect sensible information from theft or accidental loss of portable devices.

 From a virtualization technology standpoint bare-metal or user-space virtualization solutions can be used. The OpenSecurity project aims at providing a generic Virtual Machine (VM) orchestration layer that can be easily extensible to support further hypervisors. The current implementation is based on a user-space virtualisation solution (VirtualBox) on top of a native operating system (Windows). 

 XEN based bare-metal hypervisors are also possible as the underlying framework for our implementation. QubesOS (XEN/Fedora based hypervisor) already implements the concept of ``Security by Isolation'' and will be used for scenarios where such an installation is feasible.

 Architechture Figure 6 -  (Safe Internet Access)

 The main architectural components are the OpenSecurity Manager (OSM) and the Security Virtual Machine (SVM). The OpenSecurty system is built around the SVM which is a Linux based virtual machine and the actual subsystem that mediates the user's interaction with the unsafe resources. The OSM is a virtual machine management layer and user interface, responsible with processing user requests and hardware events. 

 Upon request for a browsing session the OSM handles the instantiation, configuration and start of a new SVM responsible for the browsing session. The SVM instances are created as Disposable Virtual Machines (DVM) from an existing SVM template. 

 DVMs are specialized virtual machines that can be easily instantiated or disposed and have very short startup times. The DVM concept is implemented by making use of immutable virtual disk images and differencing disks as well as having the template SVM in a hibernated state. This solution makes sure that any changes the browsing session (undetected malware) has made to the SVM instance are disposed upon session close.

 In addition this solution has the advantage of minimizing disk usage and allowing for a simple SVM update. By updating the template the changes are reflected in all newly created SVM instances. The update mechanism is triggered by the OSM with the update backend in the form of a package repository hosted by the OpenSecurity project.

 The reference SVM implementation is based on a minimal Debian installation. The installed software packages include a web browser, encryption engine, antivirus, SSH server and SAMBA server. 

 From the OSM point of view starting a new browsing session involves multiple configuration tasks. 

 During a browsing session the OSM starts an X11 server on the host OS and uses an SSH client with X-forwarding to execute the browser on the SVM. This allows for a seamless integration of the browser window within the host environment. In addition the browser’s Downloads folder exposed by the SVM as a SAMBA share is mounted as a network drive and is accessible by the host. 

 The SVM instance is assigned a host-only network interface necessary for communication with the host on which only host outbound connections are allowed. In addition the SVM is assigned a NAT interface for accessing the internet. The SSH communication is secured by means of automatically generated public/private keys and attached ISO image containing the authorized_keys file.

 \end{document}