Việc truyền dữ liệu một cách an toàn giữa các môi trường đáng tin cậy và không đáng tin cậy đặt ra những thách thức đáng kể, đặc biệt khi mạng trung chuyển không thể tin cậy. Một kiến trúc truyền tệp xuyên miền có thể di chuyển dữ liệu một cách an toàn giữa các môi trường bằng cách kết hợp luồng dữ liệu một chiều, ký số mật mã và giao thức truyền tải được xác thực lẫn nhau. Bằng cách giả định mạng trung chuyển là thù địch và loại bỏ giao tiếp hai chiều, thiết kế này mang lại một phương pháp vững chắc và có thể kiểm toán để duy trì tính toàn vẹn, tính xác thực của dữ liệu cũng như sự cách ly của hệ thống.
Xem xét lại vấn đề niềm tin trong việc truyền dữ liệu giữa các miền
Các hệ thống truyền dữ liệu liên miền phải cân bằng giữa nhu cầu vận hành trong việc chia sẻ dữ liệu với các biện pháp kiểm soát an ninh nhằm ngăn chặn truy cập trái phép, rò rỉ dữ liệu và các kênh điều khiển. Do các đối tượng tấn công có thể theo dõi hoặc xâm nhập vào mạng truyền dẫn, nên an ninh không thể chỉ dựa vào các biện pháp bảo vệ truyền thống dựa trên mạng.
Kiến trúc được trình bày ở đây được thiết kế dựa trên giả định rằng mạng lưới giao thông công cộng là không đáng tin cậy và có khả năng bị xâm phạm, đồng thời an ninh được đảm bảo thông qua cách ly vật lý và xác minh mật mã.
Các giả định, mô hình mối đe dọa và kiến trúc
Giả định
- Mạng lưới trung chuyển không đáng tin cậy và có thể mang tính thù địch một cách chủ động
- Kẻ tấn công có thể chặn, sửa đổi, phát lại, trì hoãn hoặc chèn lưu lượng mạng
- Không cho phép giao tiếp hai chiều giữa các miền đáng tin cậy và không đáng tin cậy
- Sự tin cậy chỉ giới hạn trong các khóa mật mã được chỉ định và logic xác minh
Các mối đe dọa cần giải quyết
- Tấn công kiểu trung gian
- Giả mạo và làm giả dữ liệu
- Các cuộc tấn công tái phát
- Thực thi lệnh từ xa
- Các kênh phản hồi bí mật
Tổng quan về kiến trúc
Kiến trúc này bao gồm ba vùng bảo mật, trong đó hệ thống không cho phép kết nối hai chiều qua các ranh giới bảo mật ở bất kỳ điểm nào:
- Khu vực đáng tin cậy (dành cho việc ký tên)
- Mạng lưới trung chuyển không đáng tin cậy
- Miền xác minh vùng không đáng tin cậy
Cách thức hoạt động của kiến trúc dựa trên đi-ốt này
Vùng tin cậy làm miền ký tên
Tất cả dữ liệu đều có nguồn gốc từ một vùng ký tên đáng tin cậy. Trước khi được phát hành, các tệp sẽ được xác thực theo chính sách và được ký số bằng khóa riêng được bảo vệ trên thiết bị truyền dữ liệu một chiều. Chữ ký này tạo ra bằng chứng mật mã về nguồn gốc và tính toàn vẹn của dữ liệu. Sau khi được ký, các tệp trở nên bất biến về mặt tin cậy, và bất kỳ sự thay đổi nào sau đó đều sẽ được phát hiện ở các giai đoạn tiếp theo.
Khu vực này không có kết nối mạng vào, các hoạt động ký điện tử bị hạn chế nghiêm ngặt và các khóa riêng được bảo vệ bằng bộ nhớ được hỗ trợ bởi phần cứng. Việc kiểm tra hoặc làm sạch nội dung cũng có thể được thực hiện trước khi ký để đảm bảo chỉ có dữ liệu đã được phê duyệt mới được phát hành.
Thực thi vật lý bằng cách sử dụng điốt dữ liệu
Linh kiện đi-ốt đầu ra
Thành phần diode dữ liệu đầu tiên đảm bảo luồng dữ liệu chỉ đi một chiều ra khỏi môi trường đáng tin cậy. Nó ngăn chặn về mặt vật lý mọi dữ liệu, tín hiệu hoặc phản hồi giao thức quay trở lại miền nguồn.
Linh kiện điốt thu
Thành phần đi-ốt dữ liệu thứ hai đảm bảo luồng dữ liệu chỉ đi vào một chiều vào miền không đáng tin cậy. Điều này ngăn chặn các mạng không đáng tin cậy thiết lập kết nối hai chiều với các hệ thống nội bộ và giúp đơn giản hóa quy trình chứng nhận an ninh bằng cách đảm bảo luồng thông tin cố định.
Secure trên mạng không đáng tin cậy
Giữa các điểm cuối của diode, dữ liệu được truyền qua một mạng không đáng tin cậy. Giao tiếp truyền tải được bảo vệ bằng giao thức TLS hai chiều (mTLS) để xác thực các điểm cuối và mã hóa dữ liệu trong quá trình truyền tải.
mTLS được coi rõ ràng là một biện pháp kiểm soát bảo mật đa tầng, chứ không phải là một điểm neo tin cậy. Nó giúp giảm thiểu rủi ro bị mạo danh và bị chặn thông tin một cách thụ động, nhưng không được coi là yếu tố đảm bảo tính toàn vẹn hay tính xác thực của dữ liệu.
Miền xác minh không đáng tin cậy
Trong miền không đáng tin cậy, các tệp nhận được sẽ được kiểm tra bằng phương pháp mã hóa. Thiết bị này xác thực chữ ký số, chuỗi chứng chỉ và các ràng buộc chính sách trước khi chấp nhận dữ liệu. Các trường hợp không qua được quá trình xác thực sẽ bị từ chối và được ghi lại.
Sự tin cậy trong miền này chỉ giới hạn ở các khóa công khai hoặc chứng chỉ đã được phê duyệt, cũng như các quy tắc xác minh và việc thực thi chính sách. Do đó, không có sự tin cậy nào được đặt vào lớp mạng hay lớp truyền tải.
Các cam kết về an ninh và kết quả đạt được
Kiến trúc này mang lại những đảm bảo an ninh vững chắc. Ngay cả khi mạng trung chuyển bị xâm nhập hoàn toàn, những kẻ tấn công cũng không thể làm giả dữ liệu đáng tin cậy hoặc tác động đến các hệ thống đáng tin cậy. Các đảm bảo an ninh chính bao gồm:
- Luồng dữ liệu một chiều được thực thi bằng các biện pháp vật lý
- Tính toàn vẹn và tính xác thực mật mã không phụ thuộc vào kênh truyền tải
- Loại bỏ các bề mặt tấn công tương tác
- Khả năng chống lại việc chặn, phát lại và sửa đổi
- Phân định rõ ràng về nhiệm vụ và phạm vi kiểm toán
Chuyên biệt nhằm đảm bảo việc truyền dữ liệu Secure
Bằng cách kết hợp các điốt dữ liệu, chẳng hạn như MetaDefender Diode™, chữ ký số và bảo mật truyền tải nhiều lớp, kiến trúc này cho phép truyền tệp an toàn giữa các miền mà không cần dựa vào sự tin cậy của mạng. Thiết kế này rất phù hợp với các môi trường đáng tin cậy, cơ sở hạ tầng trọng yếu và các hệ thống chịu sự quản lý chặt chẽ, đòi hỏi mức độ đảm bảo cao, giả định tin cậy tối thiểu và các biện pháp kiểm soát có thể kiểm toán được.
Để tìm hiểu thêm vềOPSWAT triển khai kiến trúc này, hãy liên hệ với chuyên gia ngay hôm nay.
