Эволюция применения диодов данных для сегментации сети

Рассмотрим эволюцию, которую прошли решения с применением диодов данных: от задач простого мониторинга до построения комплексных продуктов и систем безопасности, например, защищенных “хранилищ черного дня”.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов “АМТ-ГРУП”

Сетевые технологии постоянно развиваются. В последнее время вместе с задачей повышения производительности сетевых обменов одной из ключевых задач является обеспечение безопасности передачи данных, защиты источников и приемников данных. В этом контексте диоды данных (Data Diodes, InfoDiode1) уже не первый год играют важную роль, обеспечивая физически однонаправленную передачу информации в наиболее критических сегментах инфраструктуры компаний. Физическая однонаправленность делает их незаменимыми компонентами для эффективной сегментации сетей, мониторинга и защиты критически важных систем.

Начальный этап: диоды данных для мониторинга изолированных сетей

Первоначально диоды данных использовались в основном для передачи сетевого трафика из защищаемых и критических сегментов за их пределы в целях его мониторинга в профильных решениях ИБ (SIEM-системы и системы обнаружения вторжений IDS/XDR в центрах SOC). Чаще всего такие решения применялись:

• в промышленных системах (АСУ ТП), где проводилось внедрение IDS-систем, а также для передачи логов и телеметрии агентов SIEM из защищенной сети в ядро SIEM-системы;
• в военных и государственных сетях связи для сбора и диагностики профильных данных;
• в финансовых организациях для целей мониторинга наиболее критических сегментов и сетей.

На этом этапе развития диоды данных представляли собой достаточно примитивные аппаратные устройства, единственной функцией которых была передача физического сигнала в одну сторону. Первой их задачей было устранить существующий и применяемый до их внедрения воздушный зазор, сохранив его преимущества, но компенсировав недостатки. Например, устранить угрозы, связанные с возможным инфицированием защищаемого объекта во время передачи данных в условиях ручного переноса информации (например, при ручном копировании через USB). Или минимизировать последствия человеческих ошибок в настройке программных средств сегментации сети, которые могли бы использоваться вместо воздушного зазора. Например, исключить потенциально возможное случайное подключение к защищаемой сети, открытие портов, использование легитимных портов для организации атаки. Такие устройства до сих пор эффективно и массово применяются в наиболее простых схемах мониторинга и построения СОВ и хорошо себя зарекомендовали для решения типовых задач, особенно в условиях применения для удаленных, автономных площадок и объектов защиты.

Развитие: диоды данных для передачи прикладных данных

С ростом сложности сетей и информационных обменов диоды данных стали применяться не только для передачи сырого трафика. Все чаще их стали использовать для сегментации сети на уровне передачи прикладных данных между различными классами систем, разделяя зоны с разным уровнем доверия.

1. Наиболее частым применением здесь является разделение промышленных и корпоративных сетей с передачей промышленных данных в профильные системы, например MES, ERP.
2. Обмен файловыми данными – безопасный обмен данными между внутренней и внешней сетями. Например, для решения задач передачи конфиденциальных данных, передачи реплик баз данных, копий виртуальных машин, отчетов и документов.

Данный этап развития технологии однонаправленной передачи данных можно охарактеризовать появлением инструментов проксирования данных в рамках двунаправленных протоколов и появлением в составе аппаратных решений программного обеспечения. Основной задачей такого программного обеспечения является контроль целостности передаваемых данных, помехоустойчивое кодирование, буферизация, контроль скорости, предотвращение перегрузок при передаче данных. Ключевым отличием от диодов предыдущих поколений является появление возможности передавать данные практически всех двунаправленных протоколов, за исключением тех, которые сами по себе имеют двусторонний характер применения (RDP, HTTP, VDI и др.).

Совершенствование: диоды данных для контроля потоков данных

Дальнейшая ступень эволюции диодов – разделение зон с разным уровнем доверия не только с точки зрения простой передачи прикладных данных, но и с точки зрения контроля за самими информационными потоками и передаваемой по ним информацией.

На данном этапе развития в диодах данных появились следующие функции:

• фильтрация контента – передача только разрешенных типов данных (например, разрешение передачи текстовых файлов, но не исполняемых);
• контроль скорости – ограничения на интенсивность передачи как общего потока (например, мегабайт в час), так и в виде контроля конкретных объектов обмена (например, файлов в единицу времени);
• контроль регламента передачи – ограничения на регламентное время передачи и разрешенные диапазоны обмена данными (например, только рабочие дни, только с 9:00 до 18:00).

Этот этап характеризуется пересмотром организациями политик обмена данными между доменами различных уровней доверия в условиях высокой интенсивности обмена, то есть в условиях, когда физические носители уже не могут применяться, а обмен информацией между доменами разного уровня доверия должен происходить со все более возрастающим уровнем безопасности, что требует детальных политик ИБ и контроля. Такие решения могут применяться в государственных учреждениях, предприятиях ВПК и промышленности, для защиты энергосетей и объектов от кибератак через сами однонаправленные шлюзы, в банках – для безопасного обмена данными между филиалами.

Современный этап: диоды данных для взаимодействия с профильными СЗИ, интеграционные решения

Сегодня диоды данных глубоко интегрированы в существующую инфраструктуру СЗИ и используются как комплексные решения, умеющие делегировать часть функций ИБ профильным СЗИ. Среди таких СЗИ можно выделить: антивирусы, песочницы, DLP-системы, криптопровайдеры, сканеры уязвимостей. Другим направлением интеграции является эффективное взаимодействие с ключевыми ИТ- и инфраструктурными системами, которые так или иначе связаны с безопасностью (системы видеонаблюдения, системы резервного копирования, каталоги пользователей).

Благодаря таким интеграциям диоды данных постоянно наращивают свою функциональность для решения следующих задач:

1. Построение "хранилищ черного дня" – диоды позволяют передавать данные в хранилище резервных копий без возможности обратного доступа, создавая последний рубеж защиты информации и инфраструктуры организации.
2. Построение хранилищ журналов – безопасное хранение логов в неизменяемом виде для расследования инцидентов и контроля функционирования ИТ-инфраструктуры.
3. Хранилища данных в оборонном секторе и ВПК, взаимодействие с которым выполняется через диоды данных (существуют решения как по направлению внутрь защищаемого сегмента, так и наружу).
4. Реализация продвинутых решений по обновлению инфраструктуры защищаемого сегмента и контроля входного потока дистрибутивов и файлов обновлений.
5. Медицинские архивы и хранилища персональных данных, защищенные от несанкционированного доступа.
6. Решения, связанные с обеспечением повышенного уровня защиты, где субъект управления находится вне защищаемого объекта.

На данном этапе применение диодов данных идет в тесной интеграции с наращиваемой инфраструктурой других внедряемых или уже внедренных СЗИ. Как правило, первыми СЗИ, с которыми выполняется интеграция, являются средства аутентификации, системы резервного копирования, песочницы и DLP-системы.

Рис. АПК InfoDiode SMART (аппаратно-программное решение)

Будущее: диоды данных как значимые элементы цифровых экосистем

Следующие шаги в развитии диодов данных как средств сегментации сети очевидны уже сегодня. Прежде всего они будут связаны с расширением номенклатуры и рынка устройств, переходом диодов данных в более массовый сегмент. В том числе будут затронуты новые отрасли и сегменты, часть из которых сами появились относительно недавно (IoT, AI/ML, облачные решения, беспроводные сети). Другим направлением будет появление диодов данных под отраслевую специфику, например профильных устройств для объектов энергетики, транспорта. Это связано как с отраслевыми нюансами передачи данных, так и с особенностями эксплуатации устройств с учетом среды функционирования – в частности, с климатическими условиями.

Следует ожидать появления:

• Гибридных решений, в которых совместно с диодами данных применяются и СКЗИ (встроенные или наложенные), например для подписи (обеспечения целостности) данных перед передачей.
• Производительных решений – повышение пропускной способности без увеличения потерь передачи данных. Речь о решениях производительностью 10 Гбит/с и более, которые должны удовлетворить как в целом постоянно увеличивающийся объем передаваемых данных, так смежные рынки (систем мониторинга в условиях роста трафика, систем резервного копирования).
• Решений для IoT и IIoT – уменьшение размеров устройств и их удешевление, переход в массовый сектор, безопасный сбор данных с датчиков в умных городах и промышленности, зданиях и сооружениях. Появление устройств с беспроводным каналом связи на OUT-стороне и встраиваемых решений.
• Решений, которые учитывают сценарии применения AI/ML – передачу данных в системы AI/ML без риска компрометации и с учетом возможных обратных команд там, где это позволяет законодательство и модель угроз и нарушителя.
• Комплиментарных устройств, которые компенсируют или наращивают преимущества технологии однонаправленной передачи данных. Например, решений класса InfoRelay.

Заключение

Диоды данных прошли путь от простых решений для мониторинга и передачи сырого трафика до сложных систем, обеспечивающих безопасную сегментацию сетей, контроль за передаваемыми данными, интеграцию с другими СЗИ, защиту хранилищ данных и критической инфраструктуры. Их физическая однонаправленность остается ключевым преимуществом в условиях растущих киберугроз. В будущем их роль будет только возрастать, особенно в критически важных инфраструктурах и новых технологических средах. Диоды данных перестали быть просто "сетевым клапаном" и становятся активными элементами кибербезопасности, сочетающими аппаратную защиту с интеллектуальным анализом.