Применение диодов данных в защищённых сегментах сети (data diode)

Применение диодов данных в защищённых сегментах сети

Применение диодов данных в защищённых сегментах сети

Data Diodes, или диоды данных, являются эффективным инструментом противодействия утечкам конфиденциальной информации. В отличие от межсетевых экранов, такие устройства на физическом уровне допускают передачу трафика только в одну сторону. Это делает однонаправленные шлюзы незаменимыми при доставке данных в защищённые системы — такие как сети АСУ ТП, хранилища информации составляющей государственную тайну или критически важные объекты инфраструктуры.

 

 

 

  1. Введение
  2. Функциональные возможности и варианты реализации диодов данных
    1. 2.1. Аппаратный диод
    2. 2.2. Однонаправленный шлюз
    3. 2.3. Программный диод данных
  3. Сценарии применения диодов данных и однонаправленных шлюзов
  4. Выводы

Введение

Проблема хранения конфиденциальных данных и недопущения их утечки рано или поздно возникает в любой организации, занимающейся обработкой информации. Степень актуальности и важности этого вопроса для компании определяется величиной ущерба, который будет нанесён ей в случае реализации такого риска. Чем выше потенциальные потери организации от утечки данных, тем более строгие меры приходится применять для их сохранности. Диапазон возможных действий варьируется от разработки организационных регламентов и установки систем противодействия утечкам (DLP, Data Leak Prevention) до принятия концепции «нулевого доверия» (Zero Trust) и создания «воздушного зазора» — физического отключения критически важных сегментов сети от внешнего мира.

Изоляция защищённых сетей от обмена данными с другими сегментами особенно актуальна для производственной инфраструктуры АСУ ТП, госкомпаний, работающих с данными подпадающими под регулирование со стороны государства, коммерческих организаций, занимающихся инновационными разработками. Однако «воздушный зазор» работает недостаточно эффективно, хотя бы потому, что даже полностью изолированная инфраструктура нуждается в обмене данными с внешним миром. Прошивки контроллеров требуют периодического обновления, данные, составляющие коммерческую или государственную тайну, пополняются, результаты продуктового дизайна должны быть представлены публике.

Проблема может быть решена передачей данных на физических носителях — USB-накопителях, картах памяти или жёстких дисках, однако такой подход таит в себе ряд серьёзных проблем, главная из которых — отсутствие гарантии обратного движения информации. Действительно, «флешка», при помощи которой данные были доставлены в изолированный сегмент сети, может стать хранилищем для конфиденциальных сведений, покидающих компанию. О проблемах с оперативностью и о небезопасности такого способа движения данных можно даже не упоминать.

Между тем уже около десятка лет существует гораздо более элегантное и высокотехнологичное решение проблемы односторонней передачи информации — диод данных (Data Diode). Этим термином обозначают устройство предназначенное для передачи пакетов необработанных данных в одном направлении. В отличие от других методов однонаправленного движения информации, большинство диодов данных физически неспособны передавать пакеты в две стороны. Безусловно, Data Diode не лишены определённых недостатков, однако по ряду показателей они определённо превосходят другие способы организации таких соединений.

Функциональные возможности и варианты реализации диодов данных

Аппаратный диод

Диод данных может представлять собой как отдельное сетевое устройство, так и программно-аппаратный комплекс, предоставляющий расширенные функциональные возможности для односторонней передачи данных. Аппаратный диод реализуется путём удаления передающего компонента с одной стороны и принимающего компонента с другой стороны двунаправленной системы связи. Чаще всего технически диод данных представляет собой устройство, где один из двух оптоволоконных кабелей, а также приёмники или передатчики для него отсутствуют. Реже встречаются устройства основанные на интерфейсе RS-232. Основным недостатком реализации RS-232 является то, что в дополнение к линиям передачи данных в стандарте определены линии управления, по которым данные потенциально могут поступать обратно в сеть-источник.

 

Рисунок 1. Диод данных компании Fibersystem

Диод данных компании Fibersystem

 

В минимальном исполнении корпус диода данных содержит интерфейсы для подключения к принимающей и передающей сетям, а также разъём питания. Производители могут оснащать диоды данных дополнительными сервисными надстройками — например, индикацией передаваемых пакетов или возможностью конфигурирования устройства через файл со списком разрешённых IP-адресов.

Однонаправленный шлюз

Аппаратный диод данных способен осуществлять однонаправленную передачу потоковых, необработанных данных — например, сигналов с видеокамер с использованием специализированных протоколов (RTP / UDP и другие). Однако большинство общеупотребимых транспортных протоколов, используемых для передачи файлов и других (обрабатываемых) пакетов данных, требуют двунаправленной связи. Поэтому диод данных не может напрямую работать с TCP, FTP, HTTP и другими распространёнными стандартами: все они используют обратный канал для получения сведений о доставке пакета и другой информации.

Передача файлов при помощи транспортных протоколов требует создания программно-аппаратного комплекса на базе диода данных и пары прокси-серверов, которые осуществляют преобразование пакетов, эмулируя работу TCP, SMB или других стандартов передачи информации. Однонаправленный шлюз, использующий прокси-серверы по обе стороны диода данных, позволяет реализовать гораздо больше сервисных функций, нежели исключительно аппаратные системы. Здесь речь может идти не только о передаче данных, но и об их защите, мониторинге и фильтрации — при помощи антивирусных систем и других инструментов.

Программный диод данных

Основным недостатком аппаратных диодов данных и основанных на них однонаправленных шлюзов является относительно невысокая скорость передачи информации. Большинство производителей заявляют в характеристиках своих устройств параметры от 10 до 100 Мбит/с, которые в ряде случаев могут стать «бутылочным горлышком» для защищённой сетевой инфраструктуры.

Увеличить пропускную способность однонаправленного канала позволяют программные диоды данных — сетевые устройства, в которых ограничения на передачу информации определяются логикой работы прошивки, а не аппаратными ограничениями. Как правило, такие системы реализуются на базе защищённого микроядра операционной системы, отвечающего за логическое разделение сетей без обратного канала. Подобные системы могут обладать пропускной способностью до 10 Гбит/с, поддерживают стандартные транспортные протоколы и предлагают дополнительные сервисные возможности, например поддержку кодов состояния HTTP.

Недостатки программных диодов данных очевидны: теоретическая возможность утечки информации через обратный канал и сложность сертификации подобных систем.

Сценарии применения диодов данных и однонаправленных шлюзов

Как уже отмечалось выше, чаще всего диоды данных используются при передаче данных из незащищённой (низкой, low) сети в защищённую (высокую, high). Как правило, защищённая сеть содержит данные более высокого уровня — секретную или конфиденциальную информацию, утечке которой и препятствует диод. Среди типовых сценариев использования однонаправленных сетевых устройств — получение обновлений для средств безопасности, репликация баз данных, трансляция видео- или аудиосигнала извне.

 

Рисунок 2. Простейшая схема применения диода данных

Простейшая схема применения диода данных

 

Важно помнить, что в общем случае диод данных не защищает «высокую» сеть от кибератак, а лишь препятствует утечке информации из неё. Если пакеты данных, передаваемые извне, содержат вредоносную нагрузку, она будет доставлена в целевую систему. Как и в случае с двунаправленным каналом, проходящий через диод данных трафик необходимо проверять и при необходимости очищать.

Возможно и обратное движение данных — из «высокой» сети в менее защищённую. Такая схема предполагает сбор строго ограниченного набора информации из закрытой системы без возможности управляющего воздействия на неё. Наиболее распространённым примером такого применения диодов данных является передача параметров с устройств АСУ ТП — логических контроллеров, датчиков и других средств мониторинга.

Существует и гибридная схема применения диодов данных. В этом случае организуются два независимых однонаправленных канала: первый отвечает за передачу информации в защищённую систему, а второй — из неё. Такой подход позволяет организовать полноценный обмен данными — например, передачу почтовых сообщений, обновлений, журналов работы — и существенно снижает возможности атаки с использованием обратной связи. По сути, злоумышленнику необходимо будет получить доступ ко двум отдельным каналам, обойдя средства защиты каждого из них.

Необходимо отметить, что средства однонаправленной передачи данных входят в состав регламентированных приказами ФСТЭК России инструментов для управления доступом и защиты виртуальных сред. В частности, системы на базе диодов данных могут применяться для защиты информации содержащейся в государственных информационных системах (приказ № 17) и для обеспечения безопасности персональных данных при их обработке (приказ № 21).

Диоды данных могут использоваться и для усиления защиты АСУ ТП путём строгого ограничения трафика в некоторых чувствительных точках. Одним из таких участков может быть сервер данных, установленный в «демилитаризованной зоне». Настройки брандмауэров часто позволяют таким «промежуточным» устройствам пропускать любой трафик, идущий в сторону технологической сети. Если перед сервером данных и сегментом АСУ ТП установлен диод данных, критически важные устройства управления смогут по-прежнему передавать в хранилище сведения о состоянии системы, в то время как обратный трафик не сможет поступать в защищённую сеть.

 

Рисунок 3. Обеспечение безопасности технологического сегмента сети при помощи пары диодов данных

Обеспечение безопасности технологического сегмента сети при помощи пары диодов данных

 

Другой диод может быть размещён между сервером данных и корпоративной сетью, выполняя функцию защиты целостности архива. Обратим внимание, что в обоих случаях «верхний» конец диода подключён к менее важным компонентам. Это защищает сеть АСУ ТП от атак и из корпоративной сети, и через хранилище, при этом обеспечивая необходимую целостность и доступность информации.

Выводы

В заключение подчеркнём ключевые достоинства, а также отметим недостатки диодов данных и однонаправленных шлюзов.

Как уже упоминалось выше, наиболее важной особенностью большинства устройств класса Data Diode является физическая невозможность двусторонней передачи информации. Этот механизм, в отличие от межсетевых экранов, даже теоретически нельзя обойти или взломать. Аппаратный диод данных — весьма надёжное решение, обеспечивающее целостность конфиденциальной информации. При этом некоторые недостатки таких устройств являются прямым продолжением их достоинств:

  • Диоды данных не поддерживают традиционные транспортные протоколы на аппаратном уровне. Для передачи файлов требуется надстройка в виде прокси-серверов, отвечающих за «конвертацию» трафика.
  • В силу тех же особенностей маршрутизация и разбор трафика на диоде чаще всего также невозможны.
  • Учитывая налагаемые ограничения и относительно небогатые функциональные возможности, стоимость подобных устройств можно назвать высокой.
  • Пропускная способность большинства аппаратных систем ограничена.

Подводя итог, следует отметить, что диоды данных хорошо зарекомендовали себя как средства обеспечения реальной, а не бумажной безопасности конфиденциальных данных, недопущения утечки важной информации и передачи проверенного трафика в защищённые сегменты сети. Такие системы очень эффективны, когда надёжность является одним из ключевых факторов — при работе со сведениями составляющими государственную или коммерческую тайну, управлении производственными сетями, в военно-промышленном комплексе.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru