Data Diode thế hệ tiếp theo: Mạnh mẽ hơn tường lửa, thông minh hơn Data Diode

308

Data Diode

Khái niệm về Data Diode – một thiết bị phần cứng chỉ cho phép dữ liệu ra khỏi vành đai được bảo vệ và ngăn chặn mọi dữ liệu đi vào – không phải là mới, nhưng nó đã được áp dụng gần đây trong lĩnh vực cơ sở hạ tầng quan trọng nhằm bảo vệ mạng OT trong khi vẫn cho phép truyền dữ liệu từ mạng OT ra mạng IT.

Trong hoạt động bình thường, các máy được nối mạng có khả năng nhận và truyền dữ liệu. Khi kết nối giữa hai mạng, một trong số đó không đáng tin cậy, một Data Diode sẽ loại bỏ một trong các kênh truyền/nhận và thực thi một luồng đơn hướng ở mức độ phần cứng.

Sau nhiều năm phát triển, việc sử dụng Data Diode đã tăng lên tạo ra hai biến thể:

  • Data Diode thuần túy: Thiết bị hoặc thiết bị mạng cho phép dữ liệu thô chỉ truyền theo một hướng, được sử dụng để đảm bảo attt hoặc bảo vệ các hệ thống kỹ thuật số quan trọng, như hệ thống điều khiển công nghiệp, khỏi các cuộc tấn công mạng vào trong.
  • Cổng một chiều (Unidirection Gateway): Kết hợp phần cứng và phần mềm chạy trong máy chủ proxy trong mạng nguồn và mạng đích. Phần cứng, một Data Diode, thực thi tính đơn hướng vật lý và phần mềm sao chép Cơ sở dữ liệu và mô phỏng máy chủ giao thức để xứ lý giao tiếp hai chiều. Cổng đơn hướng có khả năng chuyển đồng thời nhiều giao thức và loại dữ liệu. Một đặc điểm duy nhất là dữ liệu được truyền một cách xác định đến các vị trí được định trước, với một “ngắt” dữ liệu được truyền qua Data Diode dữ liệu.

Trên lý thuyết, tính năng trên của Data Diode nghe có vẻ đảm bảo sự an toàn tuyệt đối của dữ liệu vùng được bảo vệ, tuy nhiên chúng cũng gây ra nhiều vấn đề tương tự như vấn đề chúng giải quyết được. Tại sao lại như vậy?

Vấn đề là, trước tiên Data Diode loại trừ bất kỳ ứng dụng nào sử dụng giao thức TCP (Transmission Control Protocol) vì đây là giao thức truyền dữ liệu hai chiều. Điều này dẫn đến Data Diode chỉ hỗ trợ truyền dữ liệu theo giao thức UDP (User Datagram Protocol), với hạn chế chỉ giới hạn các gói tin truyền (datagram) chỉ 1.500 byte.

Với các hệ thống mà lượng thông tin log nhiều, liên tục, cấu trúc lớn thì Data Diode sẽ tạo thành điểm “nghẽn cổ chai” khi thu thập thông tin sự kiện từ hệ thống. Syslog sử dụng giao thức mặc định là UDP, hoạt động được với Data Diode. Tuy nhiên, nhiều giao thức khác sử dụng TCP (Windows DCOM/WMI, CheckPoint OPSEC/LEA, JDBC, FTP, SCP, SDEE…). Nhiều hệ thống SCADA được xây dựng trên nền tảng Hệ điều hành Windows và nhiều sự kiện do máy chủ Windows giám sát có thông tin trên 2.000 byte, vượt quá giới hạn datagram UDP.

Tính năng quan trọng nhất của Data Diode là chỉ truyền thông tin theo một hướng, chúng không ngăn chặn phần mềm độc hại trong nội dung. Vì vậy, Data Diode không cung cấp bất kỳ sự bảo vệ nào khỏi khả năng có nội dung độc hại trong dữ liệu được phép vào/ra mạng cần bảo vệ của doanh nghiệp.

Nếu sử dụng Data Diode truyền thống để cách ly mạng doanh nghiệp cần bảo vệ, chúng ta đã tạo thành 1 mạng “ốc đảo” cô lập khỏi thông tin, là nguồn sống của quy trình kinh doanh/hoạt động của doanh nghiệp/tổ chức. Vì vậy, trong nhiều trường hợp, Data Diode hoạt động như một “cơ chế” ngăn cấm, và trong một xã hội thông tin như hiện nay, điều đó “lợi bất cập hại”.

Để giải quyết bài toán này, một số giải pháp Data Diode chấp nhận các kết nối TCP, như FTP hay SMTP, đến một máy chủ trung gian, chuyên dụng ở phía được bảo vệ, chuyển dữ liệu vào các datagram UDP và gửi chúng qua Data Diode tới một máy chủ trung gian, chuyên dụng thứ hai ở phía nguồn đích, tập hợp các gói tin truyền tới, bắt đầu một kết nối mới tới đích cuối cùng.

Như vậy, để đảm bảo tính một chiều vật lý của truyền dữ liệu, các Data Diode làm phức tạp về kiến trúc, làm tăng thêm số thực thể tham gia vào quá trình truyền dữ liệu, từ đó, lại vi phạm nguyên tắc an toàn thông tin, làm tăng nguy cơ rủi ro của hệ thống.

Tóm lại, lợi ích rõ ràng nhất của Data Diode là giảm nguy cơ lỗi từ phía người dùng (human error) và các nhà phát triển hệ thống mức sơ khai. Với tính năng truyền dữ liệu một chiều dạng vật lý, người dùng không thể cấu hình sai, cũng như tính năng đơn giản, không có khả năng một Data Diode có lỗi thiết kế tiềm ẩn, gây nên lỗi thất thoát làm cho dữ liệu không được phép xâm nhập vào mạng doanh nghiệp/tổ chức được bảo vệ.

Giải pháp bảo mật trao đổi dữ liệu Secure Xchange Solution

Đây là giải pháp bảo mật trao đổi dữ liệu do công ty Seclab (vốn là bộ phận R&D của công ty Điện lực Pháp, giúp nâng cấp tính năng của dòng sản phẩm Data Diode, hỗ trợ trao đổi dữ liệu qua mạng (SXN – Secure Xchange Network) hay cổng USB (SXU – Secure Xchange USB) giữa 2 lớp mạng gửi và nhận được phân tách về mặt vật lý.

Chúng ta xem xét sơ bộ Giải pháp bảo mật trao đổi dữ liệu qua mạng (SXN).

Sử dụng kiến trúc vật lý dạng rackmount 1U, gồm 3 bo mạch FPGA (Field programmable Gate Array: Mảng cổng lập trình được dạng trường, thuộc dòng sản phẩm ASIC lập trình, tương tự một máy tính lập trình được), với 2 thành phần Gate A và Gate B tương ứng với hai lớp mạng được phân tách.

Gate A và Gate B được cấu hình độc lập nhau, về nguyên tắc được phân ra do 2 quản trị viên độc lập cấu hình, do đó, mỗi bên phải nắm rõ cấu trúc mạng phía bên mình và cùng phối hợp cấu hình để thiết lập nên các kênh truyền.

Thông qua bo mạch trung tâm, dữ liệu được truyền giữa Gate A và Gate B theo một quy trình như sau:

  • Cô lập khỏi Gate A.
  • Lọc dữ liệu. Xác nhận dữ liệu (gói tin ứng dụng hay tệp tin) phù hợp và an toàn để chuyển đổi.
  • Chuyển đổi dữ liệu để phù hợp với yêu cầu phần cứng và giao thức được quy định của Data Diode để chuyển đi.
  • Truyền qua Gate B: Các thông tin, thuộc lớp 1–4 của mô hình OSI sẽ được tái tạo lại không phụ thuộc vào thông tin đầu vào trên Gate A. Và chỉ các dữ liệu đã xác nhận là an toàn mới xuất hiện tại đầu ra của Gate B.

Giải pháp SXN còn cung cấp thiết bị dạng kết cấu slot, mỗi slot có thiết lập các thông số khác nhau về thiết bị/dịch vụ riêng, uni-direction hay bi-direction, và các slot này độc lập với nhau về logic, dù trên một nền tảng (chassis) dùng chung.

Các gói tin hợp lệ truyền giữa hai Gate A và B được xử lý bởi bo mạch trung tâm, bo mạch này dùng FPGA xử lý mọi tác vụ qua chíp cứng. Các gói tin sẽ được tái tạo phần truyền dẫn thuộc lớp 1-4 trong mô hình OSI 7 lớp. Do đó, các dạng tấn công tiềm ẩn trong lớp truyền dẫn như tấn công giả mạo địa chỉ MAC, tấn công DHCP, thay đổi địa chỉ IP… được loại bỏ.

Giải pháp này có nhiều ưu điểm trong việc xây dựng 1 giải pháp trọn gói từ thuật toán và thiết bị phần cứng tích hợp để truyền dữ liệu an toàn, kiểm soát truy cập vào hệ thống máy tính, phân tách các hệ thống mạng cần bảo vệ/cách ly, hỗ trợ chỉ truyền thông tin được lọc/kiểm soát.

So sánh tính năng một số dòng Data Diode phổ biến trên thị trường.

Hải Đông

Tin liên quan: