Однонаправленная сеть

Сетевое устройство, допускающее передачу данных только в одном направлении

Однонаправленная сеть ( также называемая однонаправленным шлюзом или диодом данных ) — это сетевое устройство или устройство, которое позволяет данным перемещаться только в одном направлении. Диоды данных чаще всего встречаются в средах с высоким уровнем безопасности, таких как оборона, где они служат соединениями между двумя или более сетями с различными классификациями безопасности. Учитывая рост промышленного Интернета вещей и цифровизации , эту технологию теперь можно найти на уровне промышленного управления для таких объектов, как атомные электростанции , электрогенерация и критически важные для безопасности системы, такие как железнодорожные сети. ^[1]

После многих лет разработки дата-диоды превратились из простого сетевого устройства или устройства, позволяющего необработанным данным перемещаться только в одном направлении, используемого для обеспечения информационной безопасности или защиты критически важных цифровых систем, таких как промышленные системы управления, от входящих кибератак, ^[2]^[3] в комбинации аппаратного и программного обеспечения, работающего на прокси-компьютерах в исходных и целевых сетях. Аппаратное обеспечение обеспечивает физическую однонаправленность, а программное обеспечение реплицирует базы данных и эмулирует серверы протоколов для обработки двунаправленной связи. Теперь дата-диоды способны передавать несколько протоколов и типов данных одновременно. Он содержит более широкий спектр функций кибербезопасности , таких как безопасная загрузка , управление сертификатами, целостность данных , прямое исправление ошибок (FEC), безопасная связь через TLS и другие. Уникальной характеристикой является то, что данные передаются детерминированно (в заранее определенные места) с «разрывом» протокола, который позволяет передавать данные через дата-диод.

Данные-диоды обычно используются в высокозащищенных военных и правительственных средах и в настоящее время широко применяются в таких секторах, как нефть и газ , водоснабжение/очистка сточных вод, самолеты (между блоками управления полетом и бортовыми развлекательными системами), производство и облачное подключение для промышленного Интернета вещей . ^[4] Новые правила ^[5] увеличили спрос, и с ростом производительности основные поставщики технологий снизили стоимость основных технологий.

История

Первые дата-диоды были разработаны правительственными организациями в восьмидесятых и девяностых годах. Поскольку эти организации работают с конфиденциальной информацией, обеспечение безопасности их сети является наивысшим приоритетом. Основными решениями, используемыми этими организациями, были воздушные зазоры. Но по мере увеличения объема передаваемых данных и повышения важности непрерывного и реального потока данных этим организациям пришлось искать автоматизированное решение. ^{[ необходима цитата ]}

В поисках большей стандартизации все большее число организаций начали искать решение, которое лучше подходило бы для их деятельности. Коммерческие решения, созданные стабильными организациями, имели успех, учитывая уровень безопасности и долгосрочную поддержку. ^{[ необходима цитата ]}

В Соединенных Штатах коммунальные службы и нефтегазовые компании уже несколько лет используют дата-диоды, а регулирующие органы поощряют их использование для защиты оборудования и процессов в системах безопасности (SIS) . Комиссия по ядерному регулированию (NRC) теперь предписывает использование дата-диодов, и многие другие секторы, помимо электротехнического и ядерного, также эффективно используют дата-диоды. ^[1]

В Европе регулирующие органы и операторы нескольких критически важных для безопасности систем начали рекомендовать и внедрять правила использования однонаправленных шлюзов. ^[6]

В 2013 году рабочая группа Industrial Control System Cybersecurity, разработанная Французским агентством сетевой и информационной безопасности ( ANSSI ), заявила, что запрещено использовать межсетевые экраны для подключения любой сети 3-го класса, например, железнодорожных коммутационных систем, к сети более низкого класса или корпоративной сети; разрешена только однонаправленная технология. ^[5]

Приложения

Мониторинг в режиме реального времени сетей, критически важных для безопасности
Безопасный мост ОТ – ИТ ^[7]
Безопасное облачное подключение критически важных сетей ОТ ^[8]
Репликация базы данных
Сбор данных
Надежные внутренние и гибридные облачные решения (частные/публичные)
Безопасный обмен данными для рынков данных
Безопасное предоставление учетных данных/сертификатов
Безопасный обмен данными между базами данных
Безопасная печать из менее защищенной сети в высокозащищенную сеть (снижение затрат на печать)
Перенос обновлений приложений и операционной системы из менее защищенной сети в высокозащищенную сеть
Синхронизация времени в высокозащищенных сетях
Передача файлов
Потоковое видео
Отправка/получение оповещений или сигналов тревоги из открытых в критические/конфиденциальные сети ^[9]
Отправка/получение писем из открытых в критические/конфиденциальные сети
Правительство ^[10]
Коммерческие компании ^[11]

Использование

Однонаправленные сетевые устройства обычно используются для обеспечения информационной безопасности или защиты критически важных цифровых систем, таких как промышленные системы управления , от кибератак. Хотя использование этих устройств является обычным в средах с высоким уровнем безопасности, таких как оборона, где они служат в качестве соединений между двумя или более сетями с различными классификациями безопасности, эта технология также используется для обеспечения односторонней связи, исходящей от критически важных цифровых систем к ненадежным сетям, подключенным к Интернету .

Физическая природа однонаправленных сетей позволяет передавать данные только с одной стороны сетевого соединения на другую, но не наоборот. Это может быть с «низкой стороны» или недоверенной сети на «высокую сторону» или доверенную сеть или наоборот. В первом случае данные в сети с высокой стороны остаются конфиденциальными, и пользователи сохраняют доступ к данным с низкой стороны. ^[12] Такая функциональность может быть привлекательной, если конфиденциальные данные хранятся в сети, требующей подключения к Интернету : высокая сторона может получать интернет-данные с низкой стороны, но никакие данные с высокой стороны не доступны для вторжения через Интернет. Во втором случае критически важная для безопасности физическая система может быть сделана доступной для онлайн-мониторинга, но при этом изолированной от всех интернет-атак, которые могут нанести физический ущерб. В обоих случаях соединение остается однонаправленным, даже если скомпрометированы как низкая, так и высокая сеть, поскольку гарантии безопасности носят физический характер.

Существуют две общие модели использования однонаправленных сетевых соединений. В классической модели целью диода данных является предотвращение экспорта секретных данных с защищенной машины, при этом разрешая импорт данных с незащищенной машины. В альтернативной модели диод используется для разрешения экспорта данных с защищенной машины, при этом предотвращая атаки на эту машину. Они более подробно описаны ниже.

Односторонний поток к менее защищенным системам

Включает системы, которые должны быть защищены от удаленных/внешних атак из публичных сетей при публикации информации в таких сетях. Например, система управления выборами, используемая с электронным голосованием, должна сделать результаты выборов доступными для общественности, и в то же время она должна быть защищена от атак. ^[13]

Эта модель применима к различным критически важным проблемам защиты инфраструктуры , где защита данных в сети менее важна, чем надежный контроль и правильная работа сети. Например, общественность, живущая ниже по течению от плотины, нуждается в актуальной информации об оттоке, и эта же информация является критически важным входом для системы управления шлюзами . В такой ситуации критически важно, чтобы поток информации шел от защищенной системы управления к общественности, а не наоборот.

Односторонний поток к более безопасным системам

Большинство однонаправленных сетевых приложений в этой категории находятся в обороне и у оборонных подрядчиков. Эти организации традиционно применяли воздушные зазоры для физического отделения секретных данных от любого интернет-соединения. С введением однонаправленных сетей в некоторых из этих сред определенная степень связности может безопасно существовать между сетью с секретными данными и сетью с интернет-соединением.

В модели безопасности Белла–ЛаПадулы пользователи компьютерной системы могут создавать данные только на уровне или выше своего собственного уровня безопасности. Это применимо в контекстах, где существует иерархия классификаций информации . Если пользователи на каждом уровне безопасности совместно используют машину, выделенную для этого уровня, и если машины соединены диодами данных, ограничения Белла–ЛаПадулы могут быть жестко реализованы. ^[14]

Преимущества

Традиционно, когда ИТ-сеть предоставляет доступ к серверу DMZ для авторизованного пользователя, данные уязвимы для вторжений из ИТ-сети. Однако с однонаправленными шлюзами, разделяющими критическую сторону или сеть OT с конфиденциальными данными от открытой стороны с бизнес-подключением и подключением к Интернету, обычно ИТ-сети, организации могут достичь лучшего из обоих миров, обеспечивая требуемое подключение и гарантируя безопасность. Это справедливо даже в случае, если ИТ-сеть скомпрометирована, поскольку управление потоком трафика носит физический характер. ^[15]

Не сообщалось о случаях обхода или использования дата-диодов для обеспечения двустороннего трафика. ^[2]
Более низкие долгосрочные эксплуатационные расходы (OPEX) , поскольку нет правил, которые нужно поддерживать. Хотя необходимо будет устанавливать обновления программного обеспечения. Часто эти устройства должны обслуживаться поставщиками. ^[2]
Однонаправленный программный уровень не может быть настроен для разрешения двустороннего трафика из-за физического отключения линии RX или TX. ^[2]

Слабые стороны

По состоянию на июнь 2015 года однонаправленные шлюзы еще не получили широкого распространения и не были достаточно изучены. ^[2]
Однонаправленные шлюзы не способны маршрутизировать большую часть сетевого трафика и нарушают большинство протоколов. ^[2]
Стоимость; изначально информационные диоды были дорогими, хотя сейчас доступны более дешевые решения. ^{[ необходима цитата ]}
Определенные варианты использования, требующие двустороннего потока данных, могут быть труднодостижимы. ^{[ необходима цитата ]}

Вариации

Простейшая форма однонаправленной сети — это модифицированная волоконно-оптическая сетевая связь , в которой приемопередатчики отправки и приема удалены или отключены для одного направления, а все механизмы защиты от сбоев связи отключены. Некоторые коммерческие продукты полагаются на эту базовую конструкцию, но добавляют другие программные функции, которые предоставляют приложениям интерфейс, помогающий им передавать данные по каналу. ^{[ необходима цитата ]}

Полностью оптические диоды данных могут поддерживать очень высокую пропускную способность канала и являются одними из самых простых. В 2019 году Controlled Interfaces продемонстрировала свою (теперь запатентованную) одностороннюю оптоволоконную связь с использованием коммерческих готовых трансиверов 100G в паре сетевых коммутаторов Arista. Не требуется специального программного обеспечения драйвера.

Другие более сложные коммерческие предложения позволяют осуществлять одновременную одностороннюю передачу данных нескольких протоколов, которые обычно требуют двунаправленных соединений. ^{[ необходима цитата ]} Немецкие компании INFODAS и GENUA разработали программные («логические») диоды данных, которые используют операционную систему Microkernel для обеспечения однонаправленной передачи данных. Благодаря программной архитектуре эти решения предлагают более высокую скорость, чем обычные аппаратные диоды данных. ^{[ необходима цитата ]}

Компания ST Engineering разработала собственный шлюз защищенных электронных приложений, состоящий из нескольких диодов данных и других программных компонентов, для обеспечения двунаправленных транзакций веб-сервисов HTTP(S) в режиме реального времени через Интернет, одновременно защищая защищенные сети как от вредоносных инъекций, так и от утечки данных. ^[16]

В 2018 году компания Siemens Mobility выпустила решение однонаправленного шлюза промышленного класса, в котором диод данных, блок сбора данных, использует электромагнитную индукцию и новую конструкцию микросхемы для достижения оценки безопасности EBA , гарантируя безопасное подключение новых и существующих критически важных для безопасности систем до уровня целостности безопасности (SIL) 4 ^[17] для обеспечения безопасного Интернета вещей и предоставления аналитики данных и других облачных цифровых услуг. ^[18]

В 2022 году компания Fend Incorporated выпустила диод данных, способный работать как шлюз Modbus с полной оптической изоляцией. Этот диод предназначен для промышленных рынков и критической инфраструктуры, служащей для соединения устаревших технологий с новыми ИТ-системами. Диод также функционирует как преобразователь Modbus с возможностью подключения к последовательным системам RTU с одной стороны и системам Ethernet TCP с другой. ^{[ необходима цитата ]}

Лаборатория военно-морских исследований США (NRL) разработала собственную однонаправленную сеть, названную Network Pump. ^[19] Во многом это похоже на работу DSTO, за исключением того, что она допускает ограниченный обратный канал, идущий от высокой стороны к низкой стороне для передачи подтверждений. Эта технология позволяет использовать больше протоколов в сети, но вводит потенциальный скрытый канал, если и высокая, и низкая сторона скомпрометированы посредством искусственной задержки времени подтверждения. ^[20]

Различные реализации также имеют разные уровни сертификации и аккредитации третьей стороны. Междоменная защита, предназначенная для использования в военном контексте, может иметь или требовать обширную сертификацию и аккредитацию третьей стороны. ^[21] Однако дата-диод, предназначенный для промышленного использования, может вообще не иметь или требовать сертификацию и аккредитацию третьей стороны, в зависимости от приложения. ^[22]

Известные поставщики

BAE Systems — США/Великобритания
Fend Incorporated — США
Сименс - Германия
ST Engineering - Сингапур
Technolution - Нидерланды

Смотрите также

Ссылки

^ ab "Улучшение кибербезопасности промышленной системы управления с помощью стратегий глубокоэшелонированной обороны - Министерство внутренней безопасности США" (PDF) . Агентство по кибербезопасности и безопасности инфраструктуры . Сентябрь 2016 г. . Получено 15 апреля 2023 г. .
^ abcdef Скотт, Остин (30 июня 2015 г.). «Тактические диоды данных в системах промышленной автоматизации и управления». Институт SANS . Получено 15 апреля 2023 г.
^ "Национальный институт стандартов и технологий. Руководство по безопасности промышленных систем управления (ICS)" (PDF) .
^ «Безопасность Интернета вещей».
^ ab "ANSSI - Кибербезопасность для промышленных систем управления" (PDF) .
^ «Немецкие рекомендации по безопасности VDMA Industrie 4.0 рекомендуют использовать диоды данных для защиты критических сегментов сети» (PDF) .
^ «Защита нефте- и газопроводов от кибератак с использованием диодов Fend Data» (PDF) . fend.tech .
^ «Безопасное открытие двери в облако для критически важных производственных объектов» (PDF) . fend.tech .
^ «Мониторинг в реальном времени».
^ Австралийское правительственное управление по управлению информацией 2003, Защита систем с помощью Starlight, Департамент финансов и администрации, просмотрено 14 апреля 2011 г., [1] Архивировано 6 апреля 2011 г. на Wayback Machine
↑ Wordsworth, C 1998, Пресс-релиз: Министр награждает пионера в области компьютерной безопасности, просмотрено 14 апреля 2011 г., [2] Архивировано 27 марта 2011 г. на Wayback Machine
^ Slay, J & Turnbull, B 2004, «Использование и ограничения однонаправленных сетевых мостов в безопасной среде электронной коммерции», доклад, представленный на конференции INC 2004, Плимут, Великобритания, 6–9 июля 2004 г.
^ Дуглас В. Джонс и Том К. Бауэрсокс, Безопасный экспорт данных и аудит с использованием диодов данных, Труды семинара по технологиям электронного голосования USENIX/ACCURATE 2006 года, 1 августа 2006 года, Ванкувер.
^ Курт А. Нильсен, Метод передачи данных с незащищенного компьютера на защищенный компьютер, патент США 5,703,562, 30 декабря 1997 г.
^ «Улучшение кибербезопасности промышленных систем управления с помощью стратегий глубокоэшелонированной защиты — Министерство внутренних дел США» (PDF) .
^ "ST Engineering Data Diode in Industries" (PDF) .
^ "Новый дата-диод Siemens теперь доступен: безопасный мониторинг ваших сетей - Rail stories - Global". Siemens . Получено 15 апреля 2023 г. .
^ "Основные моменты Innotras 2018".
^ "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 11 ноября 2020 года . Получено 11 февраля 2015 года .{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )
^ Мён, ХК, Московиц, И.С. и Чинчек, С. 2005, «Насос: десятилетие скрытого веселья»
^ "Cross-Domain Solutions". Lockheed Martin . Архивировано из оригинала 7 марта 2019 года . Получено 6 марта 2019 года .
^ "Диоды данных". MicroArx . Получено 6 марта 2019 г.

Внешние ссылки

Блог Паттона: использование симплексных каналов передачи данных для сетей сверхвысокой безопасности
Статья Института SANS о тактических информационных диодах в системах промышленной автоматизации и управления.
Руководство по безопасности промышленных систем управления (ICS) Министерства торговли США - Национального института стандартов и технологий по использованию диодов данных в промышленных системах управления.
Повышение кибербезопасности промышленных систем управления с помощью стратегий глубокоэшелонированной обороны. Министерство внутренних дел США. Группа реагирования на чрезвычайные ситуации в киберпространстве промышленных систем управления об использовании диодов данных.

[us-cert1-1] "Улучшение кибербезопасности промышленной системы управления с помощью стратегий глубокоэшелонированной обороны - Министерство внутренней безопасности США" (PDF) . Агентство по кибербезопасности и безопасности инфраструктуры . Сентябрь 2016 г. . Получено 15 апреля 2023 г. .

[autogenerated1-2] Скотт, Остин (30 июня 2015 г.). «Тактические диоды данных в системах промышленной автоматизации и управления». Институт SANS . Получено 15 апреля 2023 г.

[NIST-3] "Национальный институт стандартов и технологий. Руководство по безопасности промышленных систем управления (ICS)" (PDF) .

[4] «Безопасность Интернета вещей».

[autogenerated3-5] "ANSSI - Кибербезопасность для промышленных систем управления" (PDF) .

[6] «Немецкие рекомендации по безопасности VDMA Industrie 4.0 рекомендуют использовать диоды данных для защиты критических сегментов сети» (PDF) .

[7] «Защита нефте- и газопроводов от кибератак с использованием диодов Fend Data» (PDF) . fend.tech .

[8] «Безопасное открытие двери в облако для критически важных производственных объектов» (PDF) . fend.tech .

[9] «Мониторинг в реальном времени».

[AGIMO-10] Австралийское правительственное управление по управлению информацией 2003, Защита систем с помощью Starlight, Департамент финансов и администрации, просмотрено 14 апреля 2011 г., [1] Архивировано 6 апреля 2011 г. на Wayback Machine

[Wordsworth-11] Wordsworth, C 1998, Пресс-релиз: Министр награждает пионера в области компьютерной безопасности, просмотрено 14 апреля 2011 г., [2] Архивировано 27 марта 2011 г. на Wayback Machine

[Slay_1-12] Slay, J & Turnbull, B 2004, «Использование и ограничения однонаправленных сетевых мостов в безопасной среде электронной коммерции», доклад, представленный на конференции INC 2004, Плимут, Великобритания, 6–9 июля 2004 г.

[13] Дуглас В. Джонс и Том К. Бауэрсокс, Безопасный экспорт данных и аудит с использованием диодов данных, Труды семинара по технологиям электронного голосования USENIX/ACCURATE 2006 года, 1 августа 2006 года, Ванкувер.

[14] Курт А. Нильсен, Метод передачи данных с незащищенного компьютера на защищенный компьютер, патент США 5,703,562, 30 декабря 1997 г.

[15] «Улучшение кибербезопасности промышленных систем управления с помощью стратегий глубокоэшелонированной защиты — Министерство внутренних дел США» (PDF) .

[16] "ST Engineering Data Diode in Industries" (PDF) .

[17] "Новый дата-диод Siemens теперь доступен: безопасный мониторинг ваших сетей - Rail stories - Global". Siemens . Получено 15 апреля 2023 г. .

[18] "Основные моменты Innotras 2018".

[19] "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 11 ноября 2020 года . Получено 11 февраля 2015 года .{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )

[Data_Pump-20] Мён, ХК, Московиц, И.С. и Чинчек, С. 2005, «Насос: десятилетие скрытого веселья»

[21] "Cross-Domain Solutions". Lockheed Martin . Архивировано из оригинала 7 марта 2019 года . Получено 6 марта 2019 года .

[22] "Диоды данных". MicroArx . Получено 6 марта 2019 г.