SQL Server 2022 ha ottenuto la certificazione EAL 2 Common Criteria, confermando la sua sicurezza avanzata.
Nel 2023, un post sul blog di Microsoft annunciava che due certificazioni Common Criteria (CC) per SQL Server 2022 erano in corso. Siamo entusiasti di comunicare che le certificazioni CC EAL2 per SQL Server 2022 su Windows e Linux (incluso Azure Arc) sono state rilasciate! Queste certificazioni sono conformi al nuovo e recentemente certificato DBMS cPP.
Dopo la prima certificazione CC di SQL Server 2005 (Yukon), SQL Server 2022 è l’ottava versione principale che ha completato con successo questa attestazione di sicurezza. Per vedere un estratto della vasta storia CC di SQL Server, si può fare riferimento alla pagina di sicurezza di SQL Server. Questo documento fornisce informazioni importanti per comprendere e utilizzare SQL Server 2022 come valutato e certificato.
Il significato della certificazione CC
La certificazione CC di SQL Server 2022 ha comportato un esame completo condotto dalla struttura di valutazione, basato su revisioni documentali di varie rappresentazioni di design, test funzionali e di penetrazione indipendenti, analisi del codice, audit dei siti di sviluppo, data center e siti di supporto, e una valutazione delle vulnerabilità. L’ambito e il rigore di questa indagine sono stati definiti dal nuovo e recentemente certificato DBMS cPP. I risultati ottenuti dalla struttura di valutazione sono stati continuamente monitorati dall’ente di certificazione per confermarne l’accuratezza e garantire la comparabilità con altre valutazioni indipendenti dello stesso tipo di prodotto.
Dal 2016, tutte le versioni di SQL Server certificate CC sono state “cloud connected”, poiché il loro ciclo di sviluppo (inclusi gli strumenti) è progredito passo dopo passo verso il cloud nel corso degli anni. La certificazione CC per SQL Server 2022 include una configurazione del server abilitata da Azure Arc, che rappresenta un’offerta IaaS. Tuttavia, non tutte le configurazioni di ambienti ibridi o multi-cloud sono ancora supportate da CC. Guardando al futuro, Microsoft sta contribuendo e costruendo sul lavoro svolto nel “CC in the Cloud Technical Working Group (TWG)” per supportare CC per i servizi basati sul cloud.
Informazioni sulla Common Criteria
La Common Criteria è un programma internazionale ampiamente utilizzato come standard di sicurezza informatica (ISO 15408) per testare e migliorare le misure di sicurezza IT dei prodotti commerciali per l’uso nei Sistemi di Sicurezza Nazionale. Serve come obbligo di conformità a livello mondiale in settori regolamentati e autorità e può essere applicato a quasi qualsiasi tipo di prodotto IT implementato in hardware, firmware o software. Le misure di sicurezza IT nel contesto della CC sono solitamente un mezzo per proteggere le informazioni da divulgazioni non autorizzate, modifiche o perdite di utilizzo, coprendo aree come identificazione e autenticazione, controllo degli accessi, responsabilità, audit, riutilizzo degli oggetti, recupero degli errori. Una fiducia adeguata nell’implementazione corretta ed efficace di queste misure è necessaria per determinare se i prodotti IT soddisfano le loro esigenze di sicurezza. Una struttura di valutazione competente e autorizzata valuta quindi un prodotto IT rispetto a una specifica di sicurezza predefinita, chiamata Protection Profile (PP). Un PP rappresenta i requisiti funzionali e di garanzia della sicurezza per le classi tecnologiche ed è sviluppato e mantenuto da una Technical Community (iTC) internazionale, composta da esperti CC e di area tecnologica come fornitori, enti di certificazione, strutture di valutazione e consulenti. Sotto l’accordo internazionale Common Criteria Recognition Arrangement (CCRA) e l’accordo europeo Senior Officials Group Information Systems Security (SOG-IS), tutti i firmatari concordano di riconoscere i certificati CC prodotti da qualsiasi partecipante autorizzato a certificare. Ogni membro autorizzato a certificare del CCRA o del SOG-IS gestisce un ente di certificazione che supervisiona le valutazioni condotte dalle loro strutture di valutazione commerciali autorizzate.
Per ulteriori informazioni sulla Common Criteria, visitare il Common Criteria Portal.