Transferul în condiții de siguranță al datelor între medii de încredere și medii neîncredere prezintă provocări semnificative, mai ales atunci când rețeaua de tranzit nu este de încredere. O arhitectură de transfer de fișiere între domenii poate transfera datele în condiții de siguranță între medii, combinând fluxul unidirecțional de date, semnarea criptografică și transportul cu autentificare reciprocă. Plecând de la ipoteza unei rețele de tranzit ostile și eliminând comunicarea bidirecțională, această arhitectură oferă o abordare robustă și verificabilă pentru menținerea integrității datelor, a autenticității și a izolării sistemului.
O nouă perspectivă asupra încrederii în transferurile de date între domenii
Sistemele de transfer de date între domenii trebuie să găsească un echilibru între necesitatea operațională de a partaja date și măsurile de securitate care împiedică accesul neautorizat, scurgerile de date și căile de comandă și control. Deoarece atacatorii pot observa sau compromite rețeaua de tranzit, securitatea nu se poate baza exclusiv pe măsurile tradiționale de protecție bazate pe rețea.
Arhitectura prezentată aici este concepută pornind de la premisa că rețeaua de tranzit nu este de încredere și poate fi compromisă, iar securitatea este asigurată prin izolare fizică și verificare criptografică.
Ipoteze, modelul de amenințări și arhitectura
Ipoteze
- Rețeaua de tranzit nu este de încredere și poate fi ostilă în mod activ
- Atacatorii pot intercepta, modifica, reda, întârzia sau injecta trafic
- Nu este permisă nicio comunicare bidirecțională între domeniile de încredere și cele neîncredere
- Încrederea se limitează la cheile criptografice desemnate și la logica de verificare
Amenințări care trebuie abordate
- Atacuri Man-in-the-middle
- Alterarea și falsificarea datelor
- Atacuri de tip „replay”
- Executarea de comenzi de la distanță
- Canale de feedback ascunse
Prezentare generală a arhitecturii
Arhitectura este alcătuită din trei zone de securitate, iar sistemul nu permite în niciun moment conectivitatea bidirecțională între aceste zone:
- Zona de încredere (pentru semnare)
- Rețea de tranzit neîncredibilă
- Domeniu de verificare a zonei neîncredere
Cum funcționează această arhitectură bazată pe diode
Zona de încredere ca domeniu de semnare
Toate datele provin dintr-o zonă de semnare de încredere. Înainte de a fi transmise, fișierele sunt validate în conformitate cu politica în vigoare și semnate digital folosind o cheie privată protejată pe dioda de date. Semnătura constituie o dovadă criptografică a originii și integrității. Odată semnate, fișierele devin imuabile din punct de vedere al încrederii, iar orice modificare ulterioară va fi detectată în aval.
Această zonă nu dispune de conectivitate de rețea către exterior, operațiunile de semnare sunt strict restricționate, iar cheile private sunt protejate prin intermediul unui sistem de stocare bazat pe hardware. De asemenea, înainte de semnare se pot efectua operațiuni de inspecție sau curățare a conținutului, pentru a se asigura că sunt transmise numai datele aprobate.
Aplicarea măsurilor fizice prin utilizarea diodelor de date
Componentă cu diodă de ieșire
Prima componentă de tip diodă de date asigură un flux unidirecțional în afara mediului de încredere. Aceasta împiedică fizic orice date, semnale sau feedback de protocol să se întoarcă în domeniul sursă.
Componentă cu diodă de intrare
A doua componentă de tip diodă de date asigură accesul unidirecțional către domeniul neîncredibil. Acest lucru împiedică rețelele neîncredibile să stabilească relații bidirecționale cu sistemele interne și simplifică procesul de acreditare de securitate prin impunerea unui flux fix de informații.
Secure în cadrul unei rețele nesigure
Între punctele terminale ale diodei, datele traversează o rețea nesigură. Comunicația de transport este protejată prin utilizarea protocolului TLS reciproc (mTLS) pentru autentificarea punctelor terminale și criptarea datelor în tranzit.
mTLS este tratat în mod explicit ca o măsură de securitate în profunzime, nu ca un punct de referință de încredere. Acesta reduce riscul de uzurpare a identității și de interceptare pasivă, dar nu se bazează pe acesta pentru a asigura integritatea sau autenticitatea datelor.
Domeniu de verificare neîncredibil
În domeniul neîncredibil, fișierele primite sunt supuse unei verificări criptografice. Dioda validează semnăturile digitale, lanțurile de certificate și constrângerile de politică înainte de a accepta datele. Verificările eșuate sunt respinse și înregistrate în jurnal.
Încrederea în acest domeniu se limitează la cheile publice sau certificatele aprobate, precum și la logica de verificare și la aplicarea politicilor. Prin urmare, nu se acordă nicio încredere stratului de rețea sau celui de transport.
Garanții de securitate și rezultate
Această arhitectură oferă garanții solide de securitate. Chiar și în cazul în care rețeaua de tranzit este complet compromisă, atacatorii nu pot falsifica date de încredere sau influența sistemele de încredere. Printre principalele garanții de securitate se numără:
- Flux de date unidirecțional impus fizic
- Integritatea și autenticitatea criptografică, independente de transport
- Eliminarea suprafețelor de atac interactive
- Rezistență la interceptare, redare și modificare
- O separare clară a atribuțiilor și a limitelor de audit
Soluții special concepute pentru a permite transferuri Secure de date Secure
Prin combinarea diodelor de date, precum MetaDefender Diode™, a semnăturilor digitale și a securității stratificate a transportului, această arhitectură permite transferul securizat de fișiere între domenii, fără a se baza pe încrederea în rețea. Proiectul este potrivit pentru medii de încredere, infrastructuri critice și sisteme reglementate care necesită un nivel ridicat de asigurare, ipoteze minime de încredere și controale care pot fi auditate.
Pentru a afla mai multe despre modul în careOPSWAT să implementați această arhitectură, discutați chiar astăzi cu un expert.
