Publicaciones

Certificación Common Criteria de Servicios en la Nube: Una Nueva Era en la Evaluación de la Seguridad

23/04/2025

    Contexto Histórico y la Necesidad de Cambio  

    Tradicionalmente, la Certificación Common Criteria (CC) se ha centrado en evaluar las características de seguridad de productos de Tecnologías de la Información, principalmente hardware y software. Este enfoque, aunque efectivo para productos independientes, dejaba una brecha significativa en la evaluación de servicios en la nube y soluciones de Software como Servicio (SaaS). El rápido crecimiento de la computación en la nube y la creciente dependencia de estos servicios en infraestructuras críticas y sistemas de seguridad nacional exigían una reevaluación del marco de CC.  

    Enfoque Global para la Evaluación de Servicios en la Nube 

    Diferentes países han adoptado diversas estrategias para abordar el desafío de evaluar servicios en la nube bajo el marco del esquema Common Criteria y otros esquemas nacionales de ciberseguridad. Históricamente, los principales esfuerzos para garantizar la ciberseguridad de los servicios en la nube se centraron en el nivel de infraestructura (como ISO 27017, BSI (C5) en Alemania, SecNumCloud en Francia o ENS en España). 

    El "producto" de software o no se evaluaba o se utilizaba la versión in-premise para realizar la evaluación. Con la popularización de productos nativos de la nube como SaaS, este enfoque se ha vuelto obsoleto. Por ese motivo, en los últimos años se han ido desarrollando diferentes iniciativas para encontrar soluciones más integrales a este problema.  

    Unión Europea: Adaptación de Esquemas Nacionales 

    En Europa, diferentes agencias nacionales han adaptado metodologías existentes para abordar la evaluación de servicios en la nube. Por ejemplo, las evaluaciones STIC en España o CSPN en Francia, con un enfoque más práctico destinado a asegurar los servicios en la nube, no solo la infraestructura. 

    Este enfoque aún presentaba algunas limitaciones, como expuso Javier Tallón, director en jtsec Applus+, en la Conferencia Internacional de Common Criteria en Washington D.C., durante su presentación "Experiencias evaluando servicios y productos en la nube".

    Estados Unidos: NIAP y la NIAP Policy Letter #32 

    En Estados Unidos, la National Information Assurance Partnership (NIAP) ha dado un paso significativo al adaptar las evaluaciones Common Criteria (CC) para servicios en la nube con la publicación de la NIAP Policy Letter #32 el 1 de febrero de 2025. Estas políticas marcan un cambio crucial en el enfoque de NIAP, yendo más allá del enfoque tradicional en "productos" para incluir evaluaciones de "Servicios" y Software como Servicio (SaaS) basados en la nube.

    Los aspectos clave de la NIAP Policy Letter #32 sobre servicios en la nube CC incluyen: 

    • Cambio de Terminología: El uso del término "Servicio" y evaluaciones de SaaS basados en la nube es un cambio notable en la terminología, sugiriendo que la posición de NIAP está comenzando a evolucionar e incorporar un enfoque modernizado para CC. 
    • Revisión de Idoneidad: Los laboratorios ahora deben realizar una Revisión de Idoneidad, identificando todos los Requisitos Funcionales de Seguridad (SFRs) y Requisitos de Aseguramiento de Seguridad (SARs) que probablemente requieran Consultas Técnicas (TQs). Esta lista debe proporcionarse como parte del paquete de Check-In, lo que podría introducir riesgos para los proveedores debido al tiempo requerido para resolver las TQs antes del inicio. 
    • Autenticación Mutua: La autenticación mutua era típicamente un requisito seleccionable, pero ahora es obligatoria según la Policy Letter #32. NIAP ha aclarado que, allí donde la autenticación mutua esté actualmente disponible como parte de los Requisitos de Seguridad Funcional, se espera que se implemente como tal. A medida que se actualicen los Perfiles de Protección para incluir casos de uso en la nube, también es probable que se actualicen para incluir este requisito y los proveedores deben estar atentos para respaldarlo en el futuro. 
    • Autorización FedRAMP: Allí donde NIAP haya requerido certificaciones FIPS y CAVP para funciones criptográficas según la Política 5, ahora requerirá Autorizaciones FedRAMP para un entorno operativo de TOEs que estén basados en la nube (el entorno del Proveedor de Servicios en la Nube o la oferta de servicios en la nube). Si bien este es un paso en la dirección correcta para el reconocimiento y reutilización de otras certificaciones relevantes, plantea un desafío para otros Esquemas que tienen un marco de autorización en la nube equivalente al FedRAMP de EE. UU., como es el caso de Alemania/BSI (C5), Francia/ANSSI (SecNumCloud) o España/CCN (STIC). Tener un reconocimiento mutuo en estos casos podría ser un avance para reutilizar esfuerzos en la comunidad.    
    • Requisitos de Plataforma: Dependiendo del TOE, es probable que dependa de la plataforma para implementar ciertas funcionalidades. En este escenario, la Policy Letter 32 requiere que la plataforma esté listada en la NIAP Compliant List (PCL). Esto puede representar un riesgo si la plataforma es un sistema operativo (OS), ya que no hay una amplia variedad de OS que estén siendo evaluados o que ya están dentro de la PCL. La evaluación de un OS también podría tardar lo suficiente como para que la versión evaluada quede obsoleta antes de ser incluida en la PCL. Además, si el servicio es nativo de la nube, eso podría no ser factible. 
    • Componentes de Terceros: Los proveedores también deben estar preparados para suministrar una lista de todos los componentes de terceros identificados por nombre, versión y número de compilación, es decir, un SBOM. Esto podría representar un riesgo para algunos proveedores que no tienen procesos y capacidades maduros para obtener esta información. Hacer esto manualmente podría llevar una cantidad significativa de tiempo y recursos, lo que en última instancia pondría en riesgo los plazos de la evaluación si no se aborda antes del Check-In. 
    • Preguntas Abiertas para los Laboratorios: Para los laboratorios Common Criteria, aún existen preguntas sobre lo que esta política significará a nivel de entornos de ensayos y de personal. ¿Cuáles eran los requisitos para desarrollar y mantener entornos de ensayos basados en la nube, y qué relaciones necesitarán tener los laboratorios con los proveedores de servicios en la nube para facilitar esto? ¿El personal actual del laboratorio necesitará mejorar sus habilidades específicas en tecnología de la nube? Si se realiza un ensayo remoto en un entorno en la nube controlado por el proveedor, ¿qué acceso adicional y evidencias se necesitará recopilar para satisfacer los requisitos de ensayo remoto de NIAP? 
    • Flexibilidad para Desviaciones: "Cualquier solicitud de desviación de cualquier parte de esta política debe presentarse al Director de NIAP por escrito lo antes posible en la evaluación y se resolverá caso por caso." NIAP claramente está abordando esto con cierto grado de precaución y parece estar abierto a trabajar con proveedores y laboratorios para acomodar circunstancias específicas del TOE, a medida que recopilan más datos para informar en un futuro sobre políticas más sólidas para evaluaciones en la nube. 

    Experiencia de Lightship Security con la Evaluación del Servicio en la Nube de Microsoft 

    Lightship Security, una empresa de Applus+ Laboratories, ha participado en un proyecto piloto liderado por NIAP para llevar a cabo una evaluación Common Criteria del producto cloud Microsoft Intune. Intune se centra en la gestión de dispositivos móviles (MDM) y la gestión de aplicaciones móviles (MAM).  

    Principales Conclusiones de la Evaluación Common Criteria de Microsoft Intune 

    • Durante la evaluación, se presentaron varias consultas técnicas, algunas de las cuales derivaron en decisiones técnicas. En otros casos, se aprobaron métodos de ensayo alternativos o tipos de evidencia distintos para requisitos funcionales de seguridad (SFR) o de garantía (SAR) específicos. 
    • NIAP reconoció que algunos de los problemas planteados durante esta evaluación requieren un análisis y debate adicionales antes de que puedan establecerse soluciones significativas. 
    • El Perfil de Protección de Gestión de Dispositivos Móviles (MDM) incluía referencias a entornos en la nube, lo cual ayudó a contextualizar ciertos supuestos y componentes del entorno. Sin embargo, la falta de requisitos funcionales específicos para la nube (SFR) y de actividades de evaluación adaptadas a estos entornos introdujo complejidades para cumplir de forma exacta con los requisitos de conformidad. 

    Participación Activa en la Comunidad Técnica Common Criteria in the Cloud (CCitC) 

    Los expertos de Lightship Security han sido participantes activos en la Comunidad Técnica Common Criteria in the Cloud (CCitC), que desempeña un papel clave en el desarrollo de directrices para las evaluaciones en la nube. La CCitC publicó su primera versión pública de la Guía para Evaluaciones en la Nube el 6 de febrero de 2024. Esta comunidad ha recibido declaraciones de apoyo por parte de Canadá, EE.UU. y Australia por su labor en la elaboración de directrices para autores de Perfiles de Protección, esquemas, laboratorios y proveedores sobre evaluaciones Common Criteria en entornos cloud.   

    El 5 de febrero de 2025, el documento fue actualizado (v.1.1) incorporando comentarios del esquema alemán, y actualmente se trabaja en una nueva versión que incluirá aportes del esquema australiano.

    Tanto NIAP como Microsoft han sido participantes activos en esta comunidad técnica y se espera que compartan en el futuro las “lecciones aprendidas” durante la evaluación de Microsoft Intune.  

    Conclusiones y Expectativas 

    La evolución de las evaluaciones Common Criteria para incluir servicios en la nube marca un hito significativo en el ámbito de la ciberseguridad. A medida que diversos países y organizaciones continúan desarrollando y perfeccionando sus metodologías, la colaboración entre organismos internacionales y comunidades técnicas será esencial para establecer evaluaciones de seguridad completas y adaptables. 

    Applus+ Laboratories ha liderado las evaluaciones de servicios en la nube en los últimos años. Nuestros laboratorios en España han realizado más de 100 evaluaciones CCN/STIC para servicios en la nube. 

    Las experiencias y conocimientos obtenidos en proyectos piloto como la evaluación de Microsoft Intune y otros similares sentarán las bases para procesos de certificación más sólidos y eficaces, garantizando que los servicios cloud cumplan con los más altos estándares de seguridad y fiabilidad. 

    Aún quedan muchos retos por resolver, y desde Applus+ Laboratories estamos comprometidos a seguir apoyando a la industria en este camino. 

    Ver todas las publicaciones

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies