NSA推动NFS增加“标签”访问控制

NSA本周早些时候在费城举办的IETF会议上展示了自己所谓的Labeled NFS技术，该技术基于Security-Enhanced Linux（SELinux）操作系统中的强制访问控制（MAC）技术。

将MAC技术和NFS技术混合在一起，能够让“可靠的”用户或系统读写敏感文件，运行存储在基于NFS的网络存储系统上的程序。MAC基本上确保了用户只能够访问授权范围内的文件，而恶意代码无法在NFS环境中运行。

IETF现在正在等待NSA的正式RFC（Request For Comments），以便开始考虑NFS的新安全功能。

IETF的NFSv4 Working Group的联合主席Spencer Shepler表示，“我们建议他们向前进，写一份互联网草案，提供一些标签机制的指示器，他们做的文档、他们进行的设计……并且最好是根据我们的需求，这样我们就能够更好地理解他们。”

NSA对此没有做出任何评论。

总的来说，集中控制对敏感或者限制文件或应用的访问策略，只有安全策略管理员可以设置这些策略（用户无法控制）。例如，当一名用户或者一个程序试图访问一个文件的时候，该系统决定这个用户或者对象是否被授予了这样操作的权力。

例如，今天的传统访问控制方法使用了一个访问控制列表（Access Control List，ACL），它根据用户身份决定访问权限，用户和程序不能修改访问规则。NSA（国家安全局）National Information Assurance Research Laboratory（国家信息安全研究实验室）的David Quigley进行的IETF演示表明，这种“任意”访问的方法无法防护恶意软件和容易受到攻击的软件——用户的特权可以被改变或扩张。

NFSv4是NFS目前的版本，该版本带有Kerberos以加强授权控制，但是该版本也使用了ACL规范。IETF的Shepler表示，“你可以使用Kerberos强化对用户的授权控制，确保服务器不会被哄骗，或者推翻整个存储机制。定义通用的ACL机制。” Shepler为Sun工作。“我把Labeled NFS看作是安全的第三部分。”

但是，Labeled NFS对于那些在安全性方面要求不如联邦政府或者NSA一样高的企业来说，是否超出了他们的技术能力范围尚不清楚。Shepler表示，“我个人的观点是在使用和管理方面有一些障碍——企业是否准备承担它所带来的工作？一些机构只是希望处理强化认证和合理的ACL使用——一些基本的事情。”

增加Labeled NFS能够让SELinux系统将现有的MAC安全扩展到网络存储系统上。从NSA的演示看，这还将使FreeBSD和Solaris受益。