Data Diodes, или диоды данных, являются эффективным инструментом противодействия утечкам конфиденциальной информации. В отличие от межсетевых экранов, такие устройства на физическом уровне допускают передачу трафика только в одну сторону. Это делает однонаправленные шлюзы незаменимыми при доставке данных в защищённые системы — такие как сети АСУ ТП, хранилища информации составляющей государственную тайну или критически важные объекты инфраструктуры.
- Введение
- Функциональные возможности и варианты реализации диодов данных
- 2.1. Аппаратный диод
- 2.2. Однонаправленный шлюз
- 2.3. Программный диод данных
- Сценарии применения диодов данных и однонаправленных шлюзов
- Выводы
Введение
Проблема хранения конфиденциальных данных и недопущения их утечки рано или поздно возникает в любой организации, занимающейся обработкой информации. Степень актуальности и важности этого вопроса для компании определяется величиной ущерба, который будет нанесён ей в случае реализации такого риска. Чем выше потенциальные потери организации от утечки данных, тем более строгие меры приходится применять для их сохранности. Диапазон возможных действий варьируется от разработки организационных регламентов и установки систем противодействия утечкам (DLP, Data Leak Prevention) до принятия концепции «нулевого доверия» (Zero Trust) и создания «воздушного зазора» — физического отключения критически важных сегментов сети от внешнего мира.
Изоляция защищённых сетей от обмена данными с другими сегментами особенно актуальна для производственной инфраструктуры АСУ ТП, госкомпаний, работающих с данными подпадающими под регулирование со стороны государства, коммерческих организаций, занимающихся инновационными разработками. Однако «воздушный зазор» работает недостаточно эффективно, хотя бы потому, что даже полностью изолированная инфраструктура нуждается в обмене данными с внешним миром. Прошивки контроллеров требуют периодического обновления, данные, составляющие коммерческую или государственную тайну, пополняются, результаты продуктового дизайна должны быть представлены публике.
Проблема может быть решена передачей данных на физических носителях — USB-накопителях, картах памяти или жёстких дисках, однако такой подход таит в себе ряд серьёзных проблем, главная из которых — отсутствие гарантии обратного движения информации. Действительно, «флешка», при помощи которой данные были доставлены в изолированный сегмент сети, может стать хранилищем для конфиденциальных сведений, покидающих компанию. О проблемах с оперативностью и о небезопасности такого способа движения данных можно даже не упоминать.
Между тем уже около десятка лет существует гораздо более элегантное и высокотехнологичное решение проблемы односторонней передачи информации — диод данных (Data Diode). Этим термином обозначают устройство предназначенное для передачи пакетов необработанных данных в одном направлении. В отличие от других методов однонаправленного движения информации, большинство диодов данных физически неспособны передавать пакеты в две стороны. Безусловно, Data Diode не лишены определённых недостатков, однако по ряду показателей они определённо превосходят другие способы организации таких соединений.
Функциональные возможности и варианты реализации диодов данных
Аппаратный диод
Диод данных может представлять собой как отдельное сетевое устройство, так и программно-аппаратный комплекс, предоставляющий расширенные функциональные возможности для односторонней передачи данных. Аппаратный диод реализуется путём удаления передающего компонента с одной стороны и принимающего компонента с другой стороны двунаправленной системы связи. Чаще всего технически диод данных представляет собой устройство, где один из двух оптоволоконных кабелей, а также приёмники или передатчики для него отсутствуют. Реже встречаются устройства основанные на интерфейсе RS-232. Основным недостатком реализации RS-232 является то, что в дополнение к линиям передачи данных в стандарте определены линии управления, по которым данные потенциально могут поступать обратно в сеть-источник.
Рисунок 1. Диод данных компании Fibersystem
В минимальном исполнении корпус диода данных содержит интерфейсы для подключения к принимающей и передающей сетям, а также разъём питания. Производители могут оснащать диоды данных дополнительными сервисными надстройками — например, индикацией передаваемых пакетов или возможностью конфигурирования устройства через файл со списком разрешённых IP-адресов.
Однонаправленный шлюз
Аппаратный диод данных способен осуществлять однонаправленную передачу потоковых, необработанных данных — например, сигналов с видеокамер с использованием специализированных протоколов (RTP / UDP и другие). Однако большинство общеупотребимых транспортных протоколов, используемых для передачи файлов и других (обрабатываемых) пакетов данных, требуют двунаправленной связи. Поэтому диод данных не может напрямую работать с TCP, FTP, HTTP и другими распространёнными стандартами: все они используют обратный канал для получения сведений о доставке пакета и другой информации.
Передача файлов при помощи транспортных протоколов требует создания программно-аппаратного комплекса на базе диода данных и пары прокси-серверов, которые осуществляют преобразование пакетов, эмулируя работу TCP, SMB или других стандартов передачи информации. Однонаправленный шлюз, использующий прокси-серверы по обе стороны диода данных, позволяет реализовать гораздо больше сервисных функций, нежели исключительно аппаратные системы. Здесь речь может идти не только о передаче данных, но и об их защите, мониторинге и фильтрации — при помощи антивирусных систем и других инструментов.
Программный диод данных
Основным недостатком аппаратных диодов данных и основанных на них однонаправленных шлюзов является относительно невысокая скорость передачи информации. Большинство производителей заявляют в характеристиках своих устройств параметры от 10 до 100 Мбит/с, которые в ряде случаев могут стать «бутылочным горлышком» для защищённой сетевой инфраструктуры.
Увеличить пропускную способность однонаправленного канала позволяют программные диоды данных — сетевые устройства, в которых ограничения на передачу информации определяются логикой работы прошивки, а не аппаратными ограничениями. Как правило, такие системы реализуются на базе защищённого микроядра операционной системы, отвечающего за логическое разделение сетей без обратного канала. Подобные системы могут обладать пропускной способностью до 10 Гбит/с, поддерживают стандартные транспортные протоколы и предлагают дополнительные сервисные возможности, например поддержку кодов состояния HTTP.
Недостатки программных диодов данных очевидны: теоретическая возможность утечки информации через обратный канал и сложность сертификации подобных систем.
Сценарии применения диодов данных и однонаправленных шлюзов
Как уже отмечалось выше, чаще всего диоды данных используются при передаче данных из незащищённой (низкой, low) сети в защищённую (высокую, high). Как правило, защищённая сеть содержит данные более высокого уровня — секретную или конфиденциальную информацию, утечке которой и препятствует диод. Среди типовых сценариев использования однонаправленных сетевых устройств — получение обновлений для средств безопасности, репликация баз данных, трансляция видео- или аудиосигнала извне.
Рисунок 2. Простейшая схема применения диода данных
Важно помнить, что в общем случае диод данных не защищает «высокую» сеть от кибератак, а лишь препятствует утечке информации из неё. Если пакеты данных, передаваемые извне, содержат вредоносную нагрузку, она будет доставлена в целевую систему. Как и в случае с двунаправленным каналом, проходящий через диод данных трафик необходимо проверять и при необходимости очищать.
Возможно и обратное движение данных — из «высокой» сети в менее защищённую. Такая схема предполагает сбор строго ограниченного набора информации из закрытой системы без возможности управляющего воздействия на неё. Наиболее распространённым примером такого применения диодов данных является передача параметров с устройств АСУ ТП — логических контроллеров, датчиков и других средств мониторинга.
Существует и гибридная схема применения диодов данных. В этом случае организуются два независимых однонаправленных канала: первый отвечает за передачу информации в защищённую систему, а второй — из неё. Такой подход позволяет организовать полноценный обмен данными — например, передачу почтовых сообщений, обновлений, журналов работы — и существенно снижает возможности атаки с использованием обратной связи. По сути, злоумышленнику необходимо будет получить доступ ко двум отдельным каналам, обойдя средства защиты каждого из них.
Необходимо отметить, что средства однонаправленной передачи данных входят в состав регламентированных приказами ФСТЭК России инструментов для управления доступом и защиты виртуальных сред. В частности, системы на базе диодов данных могут применяться для защиты информации содержащейся в государственных информационных системах (приказ № 17) и для обеспечения безопасности персональных данных при их обработке (приказ № 21).
Диоды данных могут использоваться и для усиления защиты АСУ ТП путём строгого ограничения трафика в некоторых чувствительных точках. Одним из таких участков может быть сервер данных, установленный в «демилитаризованной зоне». Настройки брандмауэров часто позволяют таким «промежуточным» устройствам пропускать любой трафик, идущий в сторону технологической сети. Если перед сервером данных и сегментом АСУ ТП установлен диод данных, критически важные устройства управления смогут по-прежнему передавать в хранилище сведения о состоянии системы, в то время как обратный трафик не сможет поступать в защищённую сеть.
Рисунок 3. Обеспечение безопасности технологического сегмента сети при помощи пары диодов данных
Другой диод может быть размещён между сервером данных и корпоративной сетью, выполняя функцию защиты целостности архива. Обратим внимание, что в обоих случаях «верхний» конец диода подключён к менее важным компонентам. Это защищает сеть АСУ ТП от атак и из корпоративной сети, и через хранилище, при этом обеспечивая необходимую целостность и доступность информации.
Выводы
В заключение подчеркнём ключевые достоинства, а также отметим недостатки диодов данных и однонаправленных шлюзов.
Как уже упоминалось выше, наиболее важной особенностью большинства устройств класса Data Diode является физическая невозможность двусторонней передачи информации. Этот механизм, в отличие от межсетевых экранов, даже теоретически нельзя обойти или взломать. Аппаратный диод данных — весьма надёжное решение, обеспечивающее целостность конфиденциальной информации. При этом некоторые недостатки таких устройств являются прямым продолжением их достоинств:
- Диоды данных не поддерживают традиционные транспортные протоколы на аппаратном уровне. Для передачи файлов требуется надстройка в виде прокси-серверов, отвечающих за «конвертацию» трафика.
- В силу тех же особенностей маршрутизация и разбор трафика на диоде чаще всего также невозможны.
- Учитывая налагаемые ограничения и относительно небогатые функциональные возможности, стоимость подобных устройств можно назвать высокой.
- Пропускная способность большинства аппаратных систем ограничена.
Подводя итог, следует отметить, что диоды данных хорошо зарекомендовали себя как средства обеспечения реальной, а не бумажной безопасности конфиденциальных данных, недопущения утечки важной информации и передачи проверенного трафика в защищённые сегменты сети. Такие системы очень эффективны, когда надёжность является одним из ключевых факторов — при работе со сведениями составляющими государственную или коммерческую тайну, управлении производственными сетями, в военно-промышленном комплексе.
