16:30
Конвертация в один клик! Как перенести код из Teradata в GreenPlum без лишних затрат и усилий

16:30
Расчет количества газа необходимого для выполнения транзакции в Ethereum

16:45
Смотрим на современный инструмент для FPGA

17:00
Xiaomi Redmi Note 13 и Redmi Note 13 Pro: универсальные телефоны на все случаи жизни. На что они способны?

17:00
Разработка геологических информационных систем для точного прогнозирования нефтяных месторождений

16:30
Что такое Data diode и зачем он нужен?

16:15
Книга «Грокаем Continuous Delivery»

16:00
От Рэя Брэдбери до советской системы «СФИНКС»: как эволюционировала концепция «умного дома»

15:45
Web3 приложение Twitter на React.js + Solidity | часть 1

15:45
[Перевод] Современные команды и фичи Git, которыми стоит пользоваться

15:45
Как я из разработчика SAP перешел в программную архитектуру: какие скилы пригодились, что изучал и как работаю сейчас

Что такое Data diode и зачем он нужен?11.03.2024 16:30

Представьте, что у вас есть две сети, которые необходимо защитить от несанкционированного доступа, ddos-атак и утечек информации, но в то же время нужно передавать данные между ними. Здесь и приходит на помощь Data diode.

Data diode (диод данных) или однонаправленный шлюз — это устройство, которое передает поток данных только в одном направлении. Отправить данные обратно невозможно на физическом уровне.

Под катом рассказываем о том, как он устроен и в чем его преимущества относительно других технологий защиты информации.

Форм-фактор диода данных от различных компаний.

Используйте навигацию, если не хотите читать текст полностью:

→ C чего все началось?
→ Область использования
→ Принцип работы
→ Характеристики и работа с протоколами
→ Сценарии использования
→ Особенности Data diode
→ Сравнение с другими подходами
→ Заключение

C чего все началось?

Окунемся в историю. Первые прототипы Data diode начали разрабатываться правительственными организациями в середине 1990-х годов. Активно их начали использовать на территории США в оборонных и государственных структурах, где требовалось обезопасить внутреннюю сеть от внешних атак.

Одним из ключевых моментов в развитии концепции стало внедрение таких стандартов, как Common Criteria (общие критерии), которые определяют требования к безопасности информационных технологий.

На данный момент технологии Data diode около 30 лет, но она до сих пор востребована и нашла свое применение в коммерческом использовании. Так как многие компании имеют дело с конфиденциальной информацией, им необходимо обеспечивать безопасность корпоративных сетей. Это может быть обусловлено как соблюдением законодательных требований, так и естественным процессом повышения уровня безопасности.

Сегодня мы обратим внимание на один из инструментов, который может помочь с решением этой задачи, — технологию Data diode. В рамках статьи мы не будем погружаться в технические аспекты и рассматривать специфические сценарии использования, а кратко разберемся в принципе работы диодов данных работы и возможностях их применения на практике.

Область использования

Как упоминалось ранее, Data diode широко применяются в военных и правительственных учреждениях с высоким уровнем безопасности. В настоящее время эта технология находит применение в различных отраслях, включая нефтегазовую промышленность, авиацию, облачные соединения для промышленного интернета вещей (IIoT) и других.

В 2013 году группа экспертов по кибербезопасности промышленных систем (ICS), под руководством французского агентства по сетевой и информационной безопасности (ANSSI), ввела запрет на использование межсетевых экранов для соединения сетей на уровне L3. Например, систем управления железнодорожным транспортом с сетями на уровне L2 или корпоративными сетями. Вместо этого рекомендовалось использовать однонаправленные технологии для защиты.

К 2016 году рекомендовать использование Data diode начали европейские исследовательские центры и ассоциации (VDMA, институт прикладной и комплексной безопасности Фраунгофера AISEC).

Например, немецкое методическое руководство по безопасности «German VDMA Industrie 4.0 Security Guidelines recommends the use of data diodes to protect critical network segments» рекомендует использовать Data diode для защиты критически важных сегментов сети.

Принцип работы

В чем преимущества диодов данных по сравнению с методами двунаправленного движения информации? Ведь есть такие инструменты, как:

Шифрование с двусторонними ключами (Public-Key Cryptography),
VPN (Virtual Private Network),
Симметричное шифрование (Symmetric Encryption).

Ключевое отличие в том, что устройства Data diode физически неспособны передавать пакеты данных в две стороны. Это обусловлено конструкцией с использованием отдельных физических сетей — входной и выходной.

Принцип работы Data diode.

Передача конфиденциальной информации может осуществляться от входной сети (ненадежной) к выходной сети (защищенной) или наоборот.

В первом случае (от входной сети к выходной) данные защищенной сети остаются конфиденциальными, а пользователи сохраняют доступ к информации на стороне незащищенной сети.

Такая функциональность может быть привлекательной, если защищаемая информация хранится в сети, требующей подключения к интернету: выходная сеть может получать интернет-данные от входной сети, но никакие данные на выходной сети не будут доступны для вторжения через интернет.

Первый случай использования Data diode.

Во втором случае (от выходной сети к входной сети) критическая с точки зрения безопасности физическая система может быть доступна для онлайн-мониторинга. При этом она будет обезопашена от DoS-атак, направленных на причинение ущерба защищенной сети.

Второй случай использования Data diode.

Существует ещё один способ использования Data diode, который называется гибридным. В этом случае используются два независимых канала передачи: один передает информацию в защищенную сеть, а другой — из неё.

Такой подход позволяет обмениваться различными данными, например, почтовыми сообщениями, обновлениями и журналами работы, делая при этом атаку через обратную связь гораздо сложнее. Хакеру придется преодолеть две защитные системы, чтобы получить доступ к данным.

Гибридный случай использования Data diode.

Характеристики и работа с протоколами

Скорость передачи данных технологии Data diode охватывает диапазон от 100 Мбит/c до 10 Гбит/c. Она зависит от типа протокола, используемого для передачи данных, размеров пакетов, а также количества активных учетных записей, передающих данные.

Учитывая широкий спектр продукции Data diode от различных компаний, характеристики зависят напрямую от принадлежности к группе:

Аппаратные диоды. Работают путём удаления передающего компонента с одной стороны и принимающего компонента с другой в двунаправленной системе связи. В минимальных исполнениях корпус устройства содержит интерфейсы для подключения к принимающей и передающей сетям, а также разъем питания. Производители могут внедрять дополнительную функциональность, например, индикацию передаваемых пакетов или возможность конфигурирования устройства через файл со списком разрешённых IP-адресов.
Диодный прокси. Является программно-аппаратным комплексом на базе Data diode и прокси-серверов по обе его стороны. Позволяет реализовать гораздо больше сервисных функций, нежели исключительно аппаратные системы. Здесь речь может идти не только о передаче данных, но и об их защите, мониторинге и фильтрации — при помощи антивирусных систем и других инструментов.
Программные диоды данных. Позволяют увеличить пропускную способность однонаправленного канала. Ключевая особенность реализации в том, что ограничение передачи информации определяется логикой работы прошивки, а не на аппаратном уровне. Как правило, такие системы реализуются на базе защищенного микроядра операционной системы, отвечающего за логическое разделение сетей без обратного канала. Подобные системы могут обладать пропускной способностью до 10 Гбит/с, поддерживают стандартные транспортные протоколы и предлагают дополнительные сервисные возможности, например, поддержку кодов состояния HTTP.

Одним из ключевых преимуществ Data Diode является совместимость с протоколами канального, сетевого, транспортного и прикладного уровня модели OSI. Однако использование конкретных протоколов зависит от производителя.

Сценарии использования

Первый сценарий

Чаще всего использование Data diode на одном канале осуществляется при передаче данных из незащищенной сети в защищенную. В этом случае устройство препятствует утечке конфиденциальной информации, которая хранится и обрабатывается в рамках защищенной сети.

Такой подход нашел широкое применение в автоматизированных системах управления технологическим процессом (АСУ ТП), где необходимо передавать параметры от логических контроллеров, сигналы с датчиков и другие данные между компонентами системы. При этом компоненты могут находиться как в защищенной сети, так и во внешних средах.

Второй сценарий

Помимо использования Data diode, который обеспечивает безопасность одного канала передачи данных, можно создать два независимых однонаправленных канала с использованием Data diode на каждом. Один из них предназначен для передачи данных в защищенную сеть, а второй — для передачи данных во внешние системы.

В этом случае есть возможность полноценного обмена информацией между различными сетями. При этом для проведения успешной кибератаки необходимо получить доступ сразу к обоим независимым каналам и преодолеть систему защиты каждого из них.

Кроме того, применение смешанной схемы повышает отказоустойчивость, так как каналы работают независимо. Дополнительно возможно применение нескольких Data diode в одном направлении, размещенных в различных уязвимых точках сети.

Например, Data diode могут быть размещены между сервером данных и сегментом АСУ ТП или корпоративной сетью. Это обеспечивает дополнительный уровень защиты, разделяя потоки данных и создавая барьеры для возможных атак из разных частей сети.

Особенности Data diode

По некоторым показателям, диоды данных существенно превосходят другие средства защиты информации, о чем мы еще поговорим в следующей главе, однако у решения есть и ряд особенностей.

Преимущества

Data diode обеспечивает высокий уровень безопасности за счет того, что информация может перемещаться только в одном направлении, предотвращая возможность вторжения из менее надежной сети в более безопасную.
Технология имеет относительно высокую степень надежности и отказоустойчивости, так как использует аппаратное решение для физического разделения сетей.
Простота установки и использования. Для подключения потребуется обеспечить питание устройства и два сетевых кабеля, которые соединяют шлюзы (коммутационное оборудование). Использование и настройка возможны через терминал, либо веб-интерфейс при его наличии. При начале эксплуатации не требуется аппаратная настройка.
Поскольку Data diode работает на физическом уровне и не требует протоколов аутентификации или шифрования на уровне приложений, скорость передачи данных может быть очень высокой.

Недостатки

Некоторые решения Data diode могут быть дорогостоящими, особенно если требуется высокая пропускная способность или расширенная функциональность.
Data diode предназначен для передачи данных через сетевой или волоконно-оптический кабель, следовательно, он может иметь ограниченные возможности обработки данных, фильтрации.
Однонаправленная передача данных может быть неудобной в некоторых сценариях, когда требуется двусторонняя коммуникация.

Сравнение с другими подходами

Давайте сравним технологию Data diode с другими технологиями защиты информации, такими как брандмауэры (firewalls), виртуальные частные сети (VPN) и шифрование данных.

Data diode vs брандмауэры

Брандмауэр — это программно-аппаратный или программный комплекс, который отслеживает сетевые пакеты, фильтруя их прохождение. Для того, чтобы заблокировать или разрешить трафик, брандмауэр опирается на установленные параметры.

Различия

Брандмауэры обеспечиваю контроль и фильтрацию входящего и исходящего трафика. Data Diode, с другой стороны, передают данные только в одном направлении. Брандмауэры не обладают способностью физически разделять сети на разные сегменты, так что теоретически могут быть более подверженными для кибератак.

Data diode vs виртуальные частные сети (VPN)

VPN обеспечивает безопасное соединение между удаленными пользователями и центральными ресурсами организации через общедоступные сети. Обычно используют протоколы шифрования для обеспечения конфиденциальности передаваемых данных.

Различия

Data diode обеспечивает однонаправленную передачу данных, в то время как VPN обеспечивает двустороннюю связь между удаленными пользователями и сетью организации, а также шифрует трафик.

Data diode обычно используется для передачи данных между различными уровнями безопасности, в то время как VPN используется для защиты коммуникации между удаленными пользователями и центральными ресурсами.

Data diode vs шифрование данных

Шифрование данных обеспечивает конфиденциальность информации путем преобразования ее в нечитаемый формат для третьих лиц.

Различия

Data diode предназначен для передачи данных между сетями различных уровней безопасности, в то время как шифрование данных обеспечивает конфиденциальность информации во время передачи или хранения.

Data diode не обязательно включает в себя процесс шифрования, хотя может работать с зашифрованными данными в зависимости от конфигурации.

Заключение

Data diode обеспечивает однонаправленную передачу данных, защищая критически важные системы от кибератак и обеспечивая непрерывность их работы. Это может быть особенно актуально в контексте развивающегося сегмента промышленного интернета вещей (IIoT).

Благодаря физической изоляции, Data diode становится надежным инструментом для защиты систем управления и контроля от внешних угроз.

Кроме того, рост интереса к этой технологии от крупных мировых производителей программного и аппаратного обеспечения, указывает на увеличение потенциала рынка и появление новых инноваций в этой области.

Знали ли вы об этой технологии ранее? Может быть, приходилось работать с ней на практике? Поделитесь своим мнением в комментариях!