Egyirányú hálózat - Unidirectional network

Az egyirányú hálózat (más néven egyirányú átjáró vagy adatdióda ) olyan hálózati eszköz vagy eszköz, amely lehetővé teszi, hogy az adatok csak egy irányba haladjanak. Az adatdiódák leggyakrabban nagy biztonságú környezetekben, például védekezésben találhatók, ahol összeköttetésként szolgálnak két vagy több különböző biztonsági besorolású hálózat között. Tekintettel az ipari IoT és a digitalizáció térnyerésére , ez a technológia már ipari szabályozási szinten megtalálható az olyan létesítményeknél, mint az atomerőművek , az energiatermelés és a biztonság szempontjából kritikus rendszerek, például a vasúti hálózatok.

Éveken át tartó fejlesztés után az adatdiódákból olyan hálózati eszköz vagy eszköz lett, amely lehetővé teszi a nyers adatoknak csak egy irányba történő elmozdulását, és amelyeket az információbiztonság vagy a kritikus digitális rendszerek, például az ipari vezérlőrendszerek bejövő számítógépes támadások elleni védelmére használnak, a proxy számítógépeken futó hardver és szoftver kombinációira a forrás- és célhálózatokban. A hardver kikényszeríti a fizikai egyirányúságot, a szoftver pedig replikálja az adatbázisokat és emulálja a protokollszervereket a kétirányú kommunikáció kezelésére. Az adatdiódák mostantól képesek több protokoll és adattípus egyidejű átvitelére. Szélesebb körű kiberbiztonsági funkciókat tartalmaz, mint például a biztonságos rendszerindítás , a tanúsítványkezelés , az adatintegritás , a továbbított hibajavítás (FEC), a TLS -en keresztüli biztonságos kommunikáció . Egyedi jellemzője, hogy az adatokat determinisztikusan (előre meghatározott helyekre) továbbítják egy protokoll "töréssel", amely lehetővé teszi az adatok átvitelét az adatdiódán keresztül.

Az adatdiódák általában a nagy biztonságú katonai és kormányzati környezetben találhatók, és ma már széles körben elterjedtek az olyan ágazatokban, mint az olaj és gáz , a víz/szennyvíz, a repülőgépek (a repülésirányító egységek és a repülés közbeni szórakoztató rendszerek között), a gyártás és a felhőalapú kapcsolat az iparban IoT . Az új szabályozások megnövelték a keresletet, és a megnövekedett kapacitással a nagy technológiai gyártók csökkentették az alapvető technológia költségeit.

Történelem

Az első adatdiódákat kormányzati szervezetek fejlesztették ki a nyolcvanas -kilencvenes években. Mivel ezek a szervezetek bizalmas információkkal dolgoznak, a hálózat biztonságának biztosítása a legfontosabb. Ezeknek a szervezeteknek az elsődleges megoldásai a légrések voltak. De ahogy nőtt az átvihető adatok mennyisége, és egyre fontosabbá vált a folyamatos és valós idejű adatfolyam, ezeknek a szervezeteknek automatizált megoldást kellett keresniük.

A szabványosítás további keresése során egyre több szervezet kezdett olyan tevékenységet keresni, amely jobban illeszkedik tevékenységéhez. A stabil szervezetek által létrehozott kereskedelmi megoldások sikeresek voltak, tekintettel a biztonság szintjére és a hosszú távú támogatásra.

Az Egyesült Államokban a közműszolgáltatók, valamint az olaj- és gázipari vállalatok több éve használnak adatdiódákat, és a szabályozó hatóságok bátorították ezek használatát a SIS -k berendezéseinek és folyamatainak védelmére. A Nukleáris Szabályozó Bizottság (NRC) most felhatalmazza az adatdiódák használatát, és sok más szektor is hatékonyan használja fel az elektromos és nukleáris területen kívül az egyéb szektorokat is.

Európában a szabályozó hatóságok és számos biztonságkritikus rendszer üzemeltetője elkezdett javaslatokat tenni és végrehajtani az egyirányú átjárók használatára vonatkozó előírásokat.

2013 -ban a Francia Hálózat- és Információbiztonsági Ügynökség ( ANSSI ) irányítása alatt álló, működő ipari vezérlőrendszer kiberbiztonsága kimondta, hogy tilos tűzfalat használni bármely 3. osztályú hálózat, például vasúti átkapcsolási rendszerek alacsonyabb osztályú hálózathoz vagy vállalati hálózathoz való csatlakoztatásához , csak egyirányú technológia megengedett.

Egyirányú átjáró a szekrényben

Alkalmazások

  • A biztonság szempontjából kritikus hálózatok valós idejű felügyelete
  • Biztonságos OT - IT híd
  • Kritikus OT -hálózatok biztonságos felhőalapú kapcsolata
  • Adatbázis replikálása
  • Adatbányászat
  • Megbízható háttér- és hibrid felhőalapú megoldások (privát / nyilvános)
  • Biztonságos adatcsere az adatpiacokon
  • Biztonságos hitelesítő adatok/ tanúsítványok kiépítése
  • Biztonságos, adatbázisok közötti megosztás
  • Biztonságos nyomtatás kevésbé biztonságos hálózatról nagy biztonságú hálózatra (csökkentve a nyomtatási költségeket)
  • Alkalmazás- és operációs rendszer -frissítések átvitele kevésbé biztonságos hálózatról nagy biztonságú hálózatra
  • Időszinkronizálás rendkívül biztonságos hálózatokban
  • Fájl átvitel
  • Streaming video
  • Riasztások vagy riasztások küldése/fogadása nyitottról kritikus/bizalmas hálózatokra
  • E -mailek küldése/fogadása nyílt és kritikus/bizalmas hálózatoktól
  • Kormány
  • Kereskedelmi cégek

Használat

Az egyirányú hálózati eszközöket általában az információbiztonság garantálására vagy a kritikus digitális rendszerek, például az ipari vezérlőrendszerek kibertámadások elleni védelmére használják . Bár ezen eszközök használata gyakori a nagy biztonságú környezetekben, például a védelemben, ahol összeköttetésként szolgálnak két vagy több különböző biztonsági besorolású hálózat között, a technológiát arra is használják, hogy kikényszerítsék az egyirányú kommunikációt a kritikus digitális rendszerekről a nem megbízható hálózatokra csatlakozik az internethez .

Az egyirányú hálózatok fizikai jellege csak az adatok átvitelét teszi lehetővé a hálózati kapcsolat egyik oldaláról a másikra, és nem fordítva. Ez lehet az „alacsony oldalról” vagy a nem megbízható hálózatról, a „magas oldalról” vagy a megbízható hálózatról, vagy fordítva. Az első esetben a magas oldali hálózat adatait bizalmasan kezelik, és a felhasználók továbbra is hozzáférnek az adatokhoz az alacsony oldalról. Az ilyen funkciók vonzóak lehetnek, ha érzékeny adatokat tárolnak egy hálózaton, amelyhez internetkapcsolat szükséges : a magas oldal fogadhat internetes adatokat az alacsony oldalról, de a magas oldalon lévő adatok nem érhetők el az internetes behatoláshoz. A második esetben a biztonság szempontjából kritikus fizikai rendszer elérhetővé tehető az online felügyelethez, ugyanakkor el kell szigetelni minden olyan internetes támadástól, amely fizikai kárt okozhat. Mindkét esetben a kapcsolat akkor is egyirányú marad, ha az alacsony és a magas hálózat egyaránt sérült, mivel a biztonsági garanciák fizikai jellegűek.

Két általános modell létezik az egyirányú hálózati kapcsolatok használatára. A klasszikus modellben az adatdiódának az a célja, hogy megakadályozza a minősített adatok biztonságos gépről történő exportálását, miközben lehetővé teszi az adatok importálását egy nem biztonságos gépről. Az alternatív modellben a dióda lehetővé teszi az adatok exportálását egy védett gépről, miközben megakadályozza a gép elleni támadásokat. Ezeket részletesebben az alábbiakban ismertetjük.

Egyirányú áramlás kevésbé biztonságos rendszerekhez

Olyan rendszereket foglal magában, amelyeket védeni kell a nyilvános hálózatoktól érkező távoli/külső támadások ellen, miközben információkat tesz közzé az ilyen hálózatokban. Például az elektronikus szavazással használt választási irányítási rendszernek a választási eredményeket a nyilvánosság rendelkezésére kell bocsátania, ugyanakkor immunisnak kell lennie a támadásokkal szemben.

Ez a modell számos kritikus infrastruktúra -védelmi problémára alkalmazható, ahol a hálózatban lévő adatok védelme kevésbé fontos, mint a megbízható vezérlés és a hálózat megfelelő működése. Például a gáttól lefelé élő lakosságnak naprakész információkra van szüksége a kiáramlásról, és ugyanez az információ kritikus bemenet az árvízi ellenőrző rendszerhez . Ilyen helyzetben kritikus fontosságú, hogy az információáramlás a biztonságos vezérlőrendszerből a nyilvánosság felé történjen, és nem fordítva.

Egyirányú áramlás biztonságosabb rendszerekhez

Ebben a kategóriában az egyirányú hálózati alkalmazások többsége védelmi és védelmi vállalkozók. Ezek a szervezetek hagyományosan légréseket alkalmaztak , hogy a minősített adatokat fizikailag elkülönítsék minden internetkapcsolattól. Az egyirányú hálózatok bevezetésével néhány ilyen környezetben biztonsággal létezhet bizonyos szintű kapcsolat a minősített adatokkal rendelkező hálózat és az internetkapcsolattal rendelkező hálózat között.

A Bell-LaPadula biztonsági modellben a számítógépes rendszer felhasználói csak a saját biztonsági szintjükön vagy annál magasabb szinten hozhatnak létre adatokat. Ez azokra az összefüggésekre vonatkozik, ahol az információ besorolásának hierarchiája van . Ha a felhasználók minden biztonsági szinten megosztanak egy, az adott szinthez rendelt gépet, és ha a gépeket adatdiódák kötik össze, akkor a Bell-Lapadula korlátozások mereven érvényesíthetők.

Előnyök

Hagyományosan, ha az informatikai hálózat biztosítja DMZ kiszolgáló hozzáférési jogosult felhasználó, az adatok érzékeny behatolások a informatikai hálózat. Azonban, ha egyirányú átjárók választják el az érzékeny adatokkal rendelkező kritikus oldalt vagy OT -hálózatot az üzleti és internetkapcsolattal rendelkező nyílt oldaltól, általában az IT -hálózattól, a szervezetek mindkét világ legjobbjait képesek elérni, lehetővé téve a szükséges csatlakozást és a biztonságot. Ez akkor is igaz, ha az informatikai hálózat sérült, mivel a forgalomirányítás fizikai jellegű.

  • Nem jelentettek olyan eseteket, amikor az adatdiódákat megkerülték vagy kihasználták a kétirányú forgalom engedélyezéséhez.
  • Alacsonyabb hosszú távú üzemeltetési költség (OPEX), mivel nincsenek szabályok, amelyeket fenn kell tartani. Bár szoftverfrissítéseket kell telepíteni. Ezeket az eszközöket gyakran az eladóknak kell karbantartaniuk.
  • Az egyirányú szoftverréteg nem konfigurálható úgy, hogy engedélyezze a kétirányú forgalmat az RX vagy TX vonal fizikai leválasztása miatt.

Gyengeségek

  • 2015 júniusától az egyirányú átjárókat még nem használták vagy használták jól.
  • Az egyirányú átjárók nem képesek átirányítani a hálózati forgalom nagy részét, és megszakítják a legtöbb protokollt.
  • Költség; az adatdiódák eredetileg drágák voltak, bár ma már olcsóbb megoldások is rendelkezésre állnak.
  • A kétirányú adatáramlást igénylő konkrét használati eseteket nehéz elérni.

Variációk

Az egyirányú hálózat legegyszerűbb formája egy módosított, száloptikai hálózati kapcsolat , amelynek küldési és fogadási adó-vevőit egy irányban eltávolítják vagy lekapcsolják, és minden kapcsolathiba-védelmi mechanizmus le van tiltva. Egyes kereskedelmi termékek erre az alapvető kialakításra támaszkodnak, de további szoftveres funkciókat adnak hozzá, amelyek olyan felülettel látják el az alkalmazásokat, amely segíti őket az adatok linken keresztüli továbbításában.

A teljesen optikai adatdiódák nagyon nagy csatornakapacitást támogatnak, és a legegyszerűbbek közé tartoznak. 2019-ben a Controlled Interfaces bemutatta (most szabadalmaztatott) egyirányú optikai szál kapcsolatát 100G Commercial Off The Shelf adó-vevő segítségével egy pár Arista hálózati kapcsoló platformon. Nincs szükség speciális illesztőprogramokra.

Más kifinomultabb kereskedelmi kínálat lehetővé teszi több protokoll egyidejű, egyirányú adatátvitelét, amelyek általában kétirányú kapcsolatokat igényelnek. A német INFODAS és GENUA vállalatok szoftver alapú ("logikus") adatdiódákat fejlesztettek ki, amelyek Microkernel operációs rendszert használnak az egyirányú adatátvitel biztosítására. A szoftver architektúra miatt ezek a megoldások nagyobb sebességet kínálnak, mint a hagyományos hardveralapú adatdiódák.

2018-ban a Siemens Mobility kiadott egy ipari minőségű egyirányú gateway megoldás, amely az adatokat dióda, adatrögzítési egység elektromágneses indukciót használ és az új chip elérése EBA biztonsági értékelést, ami garantálja a biztonságos kapcsolat az új és a meglévő biztonsági szempontból kritikus rendszerek akár biztonsági integritási szint (SIL) 4 a biztonságos IoT engedélyezéséhez, valamint adatelemzések és egyéb felhőben tárolt digitális szolgáltatások biztosításához.

Az amerikai haditengerészeti kutatólaboratórium (NRL) kifejlesztette saját egyirányú hálózatát, a Network Pump nevet. Ez sok tekintetben hasonlít a DSTO munkájához, azzal a különbséggel, hogy korlátozott visszacsatornát tesz lehetővé a magas oldalról az alacsony oldalra a nyugták továbbítására. Ez a technológia lehetővé teszi több protokoll használatát a hálózaton keresztül, de potenciális titkos csatornát vezet be, ha a nyugtázás időzítésének mesterséges késleltetése miatt a magas és az alacsony oldal is veszélybe kerül.

A különböző megvalósítások eltérő szintű harmadik fél tanúsításával és akkreditációjával is rendelkeznek. A katonai környezetben való használatra szánt határokon átnyúló őrök kiterjedt harmadik fél tanúsítással és akkreditációval rendelkezhetnek. Az ipari felhasználásra szánt adatdiódák azonban az alkalmazástól függően egyáltalán nem rendelkeznek vagy nem igényelnek harmadik fél tanúsítványt és akkreditációt.

Szállítók

Lásd még

Hivatkozások

Külső linkek