Aplicação de MDSA em exercícios de simulação multinacionais

Quando é utilizado o SH, entende-se que há uma relação de confiança entre os participantes da simulação, pois todos os simuladores tem seus dados expostos na federação. A segurança é garantida dentro do domínio da federação, mas tudo que está sendo publicado nela pode ser assinado pelos demais federados. Caso alguma nação não queira compartilhar determinada informação, deverá com antecedência removê-la de seu simulador, ou ainda possuir filtros configuráveis no simulador.

SH garante que tudo que é compartilhado (publicado) só será conhecido por elementos que fazem parte do domínio abrangido pelo SH, por tratar-se de uma rede protegida, como, por exemplo, as redes dos EUA JTEN (Joint Training & Experimentation Network ) e DMON (Distributed Mission Operations Network ).

Para determinados exercícios multinacionais a solução SH pode não ser ade- quada, pois a conexão de outros domínios participantes à rede do exercício fica limitada, devido à proteção exigida por esse tipo de rede, que muitas vezes é mantida isolada, sem conectividade ou com conectividade externa bastante limitada.

Nessa situação Croom-Johnson, Huiskamp e Möller (2013) apresentam a com- binação de arquiteturas distintas, como no experimento realizado que utilizou a rede JTEN para ligar o JFCOM (Joint Forces Command ) nos EUA a Westdown Camp no Reino Unido e utilizou a arquitetura MSL e MILS/DD para ligar o simulador construtivo

JSAF (Joint Semi Automated Forces) e o simulador vivo AWES (Area Weapons Effects System).

Figura 9 – Arquitetura para JTEN Trial 1

Fonte: (CROOM-JOHNSON; HUISKAMP; MÖLLER, 2013)

Conforme demonstrado na Figura 9, há uma região de classificação secreta nos EUA e um operador no Reino Unido que tem acesso também a informações dessa região, constituindo o uso do SH. O operador do Reino Unido opera um terminal que acessa o simulador na rede segura e um terminal que acessa o simulador da rede de classificação restrita do Reino Unido e sua função é lançar as informações do domínio secreto para o domínio restrito, caracterizando o uso do MSL.

Por fim, a comunicação entre o domínio restrito e o domínio secreto é permitida por meio de um MILS/DD, que restringe a passagem de dados no sentido secreto/- restrito e permite a passagem no sentido restrito/secreto, ou seja, há necessidade do operador para transferir as informações no sentido secreto/restrito para que as ações que ocorrem na região secreta tenham efeito na região restrita.

3.3.2 Isolamento multi-domínio a nível de aplicação HLA

Analisando a exposição apresentada na Seção 3.3.1, pode-se destacar três situações:

1) a utilização do operador Air Gap1_{como elemento de transferência de informa-}

ções pode influenciar no exercício devido ao tempo que esse pode levar para refletir as ações de um domínio em outro;

2) na área de classificação restrita podem haver outros simuladores, pertencentes ao Reino Unido, os quais estão ativos e participam do treinamento somente na região restrita, não interessando ao treinamento como um todo os seus resultados. Nesse caso informações desses simuladores não precisariam ser transferidas à área secreta; e

3) o domínio restrito, pertencente ao Reino Unido, pode possuir informações no simulador AWES, que participa do exercício, que não deseja compartilhar. Na primeira situação citada, a interoperabilidade poderia ser melhorada por meio da inserção de uma ponte-filtro no sentido secreto/restrito, pois o DD não permite que informações possam fluir nessa direção e isso pode comprometer o treinamento e tornar a luta injusta. Este filtro deve permitir ser configurado de forma que somente as informações necessárias sejam transportadas para a área restrita, substituindo o operador humano e garantindo que somente as informações que o operador transferia manualmente, transpusessem o filtro.

Há possibilidade de que o filtro não seja capaz de filtrar todo o conteúdo neces- sário, mas, em contrapartida, também não é possível afirmar que o operador não irá inserir informações que não deveria, no terminal ligado à região restrita. Além disso, a inserção de um filtro permitiria a verificação prévia, em uma fase de planejamento, das informações que seriam enviadas no sentido secreto/restrito.

Na segunda e terceira situações elencadas, considera-se que, mesmo o domí- nio restrito pode possuir informações que a nação não deseja compartilhar em um treinamento e, o DD aplicado entre as duas regiões, permite que todos os dados sejam transferidos no sentido restrito/secreto. Assim, com a inserção de um elemento de filtragem (ponte-filtro) nessa direção, a segurança seria aprimorada protegendo também os simuladores do domínio restrito, mesmo que o DD permita todo o tráfego no sentido restrito/secreto.

1 _{Um operador Air Gap realiza a transferência de informações entre redes de classificação de segurança}

diferentes, que não possuem conexão física entre si e sem requisitos de comunicação em tempo real. O operador responsável pela transferência de dados deve cumprir um conjunto de normas regulamentares. Essa solução de comunicação é utilizada na Arquitetura MSL de Segurança Multi- domínio.

A filtragem baseada no FOM, representada pela “Área de Interoperabilidade” entre as Federações A e B na Figura 10 visa evitar o compartilhamento de informações de um simulador específico de um determinado domínio conforme descrito na situação 2. Isso é possível desde que o simulador faça uso de uma extensão do FOM, assim, essa extensão não precisa fazer parte do acordo entre as federações participantes e pode ser filtrada.

Figura 10 – Filtro Baseado no FOM

Fonte: o Autor

As situações 1 e 3 exigem a restrição das informações relacionadas a objetos e interações de um determinado simulador, e, nesse sentido bloqueios de atributos e parâmetros devem ser feitos conforme ilustrado na Figura 11 .

Figura 11 – Filtro de Objetos e Interações

Fonte: o Autor

Nesse caso, informações que não são filtradas pelo acordo entre as federações participantes e definidos pelo FOM, podem ser protegidas por meio do bloqueio de objetos e interações.

3.3.3 Necessidade de proteção da simulação a nível de rede

As nações normalmente possuem redes protegidas para a execução de exer- cícios de simulação, as quais possuem em suas bordas, dispositivos de segurança como DDs ou firewalls. Por exemplo, no Reino Unido, os centros de treinamento são conectados por meio da rede JMNIAN (Joint Multinational Interoperability Assurance Network ). Os Estados Unidos usam a JTEN (Joint Training & Experimentation Network ) e no Canadá a rede usada é a CFXNet (Canadian Forces Training & Experimentation Network ) (NATO, 2018).

Cada nação tem sua própria rede, que é usada para diferentes propósitos e não somente para treinamento ou simulação. Uma condição importante é que as redes nacionais possam realizar conexões persistentes a outras redes e suportem o nível de segurança necessário, mas há situações nas quais as políticas de segurança destas redes secretas não permitem nenhum tipo de conexão ou o tempo para credenciamento de segurança é elevado. Nesse caso, a aplicação de um filtro HLA seria inviabilizada ou ineficaz, pois todo o fluxo pode ser bloqueado pelos equipamentos de segurança, sendo necessária a utilização da arquitetura MLS que envolve operadores humanos (Air Gap) para garantir a interoperabilidade da simulação.

No caso de uma federação encontrar-se dentro de uma rede segura de uma nação, como representado na Figura 12, para que se possa utilizar um filtro HLA, o dispositivo de segurança localizado na borda da rede, deve permitir a conexão entre as federações localizadas em cada rede fazendo a liberação necessária ao andamento da simulação compartilhada, como por exemplo, porta e protocolo utilizados na conexão à RTI.

Figura 12 – Domínios de Rede Seguros

Fonte: o Autor

A interoperabilidade entre federações localizadas em domínios distintos depende da liberação de tráfego por parte dos dispositivos de segurança, pois a segurança das informações de simulação é realizada pela ponte-filtro HLA conforme os acordos pré-estabelecidos entra as nações participantes do exercício.

Foge ao escopo deste trabalho a proteção de outras informações sigilosas, que por ventura transitem na rede secreta ou entre redes de treinamento de nações distintas, pois já é uma prática as nações possuírem suas redes privadas de experimentação e soluções técnicas para interconexão destas, como é o caso, por exemplo, das redes JMNIAN (do Reino Unido) e JTEN (dos EUA) que estão habilitadas/credenciadas para realizar conexões entre si.

3.4 CARACTERÍSTICAS TÉCNICAS DA SOLUÇÃO DE PONTE-FILTRO PARA GA- RANTIR A SEGURANÇA DOS DADOS CLASSIFICADOS DE SIMULADORES ENTRE FEDERAÇÕES

Tendo em vista atender às necessidades de segurança levantadas e descritas nos tópicos anteriores, este trabalho propõe uma solução que utiliza uma combinação

de ponte e filtro, que pode ser introduzida entre duas federações em domínios distintos visando restringir a publicação de informações classificadas.

A solução proposta constitui-se como parte de uma Arquitetura de Segurança Multi-domínio e possui características MILS/IXG relacionadas a interoperabilidade e a segurança de dados classificados da simulação como:

• bloqueio seletivo de informações e possibilidade de adaptação às políticas de segurança dos participantes;

• fluxo de dados bidirecional entre domínios de segurança; e • estabelecimento de uma ponte entre Federações distintas.

Desta forma, os simuladores participantes do exercício podem possuir dados de diferentes classificações, como secreto, restrito e não classificado. No exercício local os dados são transferidos entre os simuladores conectados de forma irrestrita, mas entre domínios distintos o filtro pode impor restrições de acordo com as políticas de segurança de cada nação.

Esta Seção descreve os componentes do modelo de ponte-filtro proposto para realizar a proteção de uma federação e consequentemente os dados classificados de seus simuladores, sendo apresentadas as características técnicas da ponte-filtro proposta, assim como sua estrutura de funcionamento.