Giải pháp tường lửa 2 chiều
Giới thiệu
Khái niệm về Data Diode – một thiết bị phần cứng chỉ cho phép dữ liệu ra khỏi vành đai được bảo vệ và ngăn chặn mọi dữ liệu đi vào – không phải là mới, nhưng nó đã được áp dụng gần đây trong lĩnh vực cơ sở hạ tầng quan trọng nhằm bảo vệ mạng OT trong khi vẫn cho phép truyển dữ liệu từ mạng OT ra mạng IT.
Trên lý thuyết, Data Diode nghe có vẻ tuyệt vời. tuy nhiên thực tế chúng thực sự đưa ra nhiều vấn đề hơn là giải quyết.
- Thứ nhất, Data Diode loại trừ bất kz ứng dụng nào sử dụng giao tiếp TCP vì TCP là hai chiều. Điều này hạn chế dữ liệu cho truyền thông UDP một chiều. Trước hết, các datagram UDP được giới hạn chỉ dưới 1.500 byte. Do đó, Data Diode ảnh hưởng đến việc thu thập sự kiện từ hệ thống. Syslog sử dụng UDP theo mặc định, hoạt động được với Data Dioide. Tuy nhiên, nhiều giao thức khác đều sử dụng TCP (Windows DCOM / WMI, Check Point OPSEC / LEA, JDBC, FTP, SCP, SDEE, v.v. ). Nhiều hệ thống SCADA được xây dựng trên Windows và nhiều sự kiện do máy chủ Windows vượt quá 2.000 byte, vượt qua giới hạn datagram UDP.
- Thứ hai, Data Diode chỉ đơn giản là ngăn chặn luồng dữ liệu theo một hướng, chúng không làm gì để chống lại phần mềm độc hại trong nội dung. Vì vậy, nó không cung cấp bất kỳ sự bảo vệ nào khỏi khả năng có nội dung độc hại trong dữ liệu được phép vào hoặc ra khỏi doanh nghiệp. Nếu bạn cách ly một hệ thống hoặc mạng với một Data Diode, bạn có xu hướng cô lập nó khỏi thông tin, huyết mạch của bất kỳ quy trình kinh doanh nào. Vì vậy, trong nhiều trường hợp, diode hoạt động như một chất ức chế và trong thời đại kết nối này, điều đó không thể chấp nhận được.
SECLAB tiền thân là một bộ phận R&D của EDF (Électricité de France) bắt đầu nghiên cứu giải pháp thay thế cho Data Diode từ năm 2007.
Hiện SECLAB là nhà cung cấp giải pháp bảo mật trao đổi dữ liệu (Secure Exchange Solution) qua mạng hoặc cổng USB giữa 2 lớp mạng gửi và nhận được phân tách về mặt vật lý. SECLAB đang cung cấp các giải pháp:
- Secure Exchange Network (SXN)
- Secure Exchange USB (SXU)
Tính năng sản phẩm
- Tất cả thành phần đóng gói trong 01 thiết bị duy nhất ( RACK 1U)
- Hardvvare Based Isolation. Gồm 3 thành phần Embedded AIO FPGA + CPU riêng biệt và 2 nguồn chạy Redundancy
- Các tác vụ lõi được xử lý bằng Chipset FPGA. Không thề thay đổi logic hoạt động sau khi rời khỏi nhà máy.
- Cấu hình đơn giàn, chỉ cấu hình những gì cho phép đi qua. Giảm thiểu tối đa sai sót do con người.
- Sử dụng công nghệ độc quyền bằng phần cứng triệt tiêu tuyệt đối mọi nguy cơ tấn công có thế trên tầng OSI từ Layer 1 đến Layer 4
- Tương thích với truyền dẫn TCP/IP, cho phép kết hợp vớt bất kỳ giải pháp nào khác một cách dễ dàng