Il trasferimento sicuro dei dati tra ambienti affidabili e non affidabili pone sfide significative, specialmente quando la rete di transito non è affidabile. Un’architettura di trasferimento file tra domini diversi consente di trasferire i dati in modo sicuro tra ambienti diversi combinando un flusso di dati unidirezionale, la firma crittografica e un trasporto con autenticazione reciproca. Partendo dal presupposto che la rete di transito sia ostile ed eliminando la comunicazione bidirezionale, questo progetto offre un approccio robusto e verificabile per garantire l’integrità dei dati, l’autenticità e l’isolamento del sistema.
Ripensare la fiducia nei trasferimenti di dati tra domini diversi
I sistemi di trasferimento dati tra domini devono trovare un equilibrio tra l'esigenza operativa di condividere i dati e i controlli di sicurezza volti a impedire accessi non autorizzati, fughe di dati e canali di comando e controllo. Poiché gli aggressori potrebbero monitorare o compromettere la rete di transito, la sicurezza non può basarsi esclusivamente sulle tradizionali protezioni di rete.
L'architettura qui presentata è stata progettata partendo dal presupposto che la rete di transito non sia affidabile e possa essere potenzialmente compromessa, e che la sicurezza sia garantita tramite isolamento fisico e verifica crittografica.
Ipotesi, modello delle minacce e architettura
Ipotesi
- La rete di transito non è affidabile e potrebbe essere attivamente ostile
- Gli aggressori potrebbero intercettare, modificare, riprodurre, ritardare o iniettare traffico
- Non è consentita alcuna comunicazione bidirezionale tra domini affidabili e non affidabili
- La fiducia è limitata alle chiavi crittografiche designate e alla logica di verifica
Minacce da affrontare
- Attacchi Man-in-the-middle
- Manomissione e falsificazione dei dati
- Attacchi di tipo "replay"
- Esecuzione di comandi da remoto
- Canali di feedback nascosti
Panoramica sull'architettura
L'architettura è costituita da tre zone di sicurezza, in cui il sistema non consente in nessun caso la connettività bidirezionale attraverso i confini di sicurezza:
- Zona attendibile (per la firma)
- Rete di transito non attendibile
- Dominio di verifica della zona non attendibile
Come funziona questa architettura basata su diodi
Zona attendibile come dominio di firma
Tutti i dati provengono da una zona di firma affidabile. Prima della pubblicazione, i file vengono convalidati in base alle politiche aziendali e firmati digitalmente utilizzando una chiave privata protetta sul “data diode”. La firma costituisce una prova crittografica dell’origine e dell’integrità. Una volta firmati, i file diventano immutabili dal punto di vista della fiducia e qualsiasi modifica successiva verrà rilevata a valle.
Questa zona non dispone di connettività di rete in entrata, le operazioni di firma sono soggette a rigide restrizioni e le chiavi private sono protette tramite un sistema di archiviazione basato su hardware. È inoltre possibile eseguire l'ispezione o la sanificazione dei contenuti prima della firma, al fine di garantire che vengano rilasciati solo i dati approvati.
Applicazione fisica tramite diodi di dati
Componente a diodo in uscita
Il primo componente del diodo di dati garantisce un flusso unidirezionale fuori dall'ambiente affidabile. Impedisce fisicamente che qualsiasi dato, segnale o feedback di protocollo torni al dominio di origine.
Componente a diodo in ingresso
Il secondo componente del diodo di dati garantisce un accesso unidirezionale al dominio non attendibile. Ciò impedisce alle reti non attendibili di stabilire connessioni bidirezionali con i sistemi interni e semplifica l'accreditamento di sicurezza imponendo un flusso di informazioni fisso.
Secure su una rete non affidabile
Tra i due endpoint del diodo, i dati transitano attraverso una rete non affidabile. La comunicazione di trasporto è protetta tramite TLS reciproco (mTLS) per autenticare gli endpoint e crittografare i dati in transito.
L'mTLS è considerato esplicitamente come un controllo di difesa a più livelli, non come un punto di riferimento di fiducia. Riduce l'esposizione al rischio di usurpazione d'identità e di intercettazione passiva, ma non viene utilizzato per garantire l'integrità o l'autenticità dei dati.
Dominio di verifica non attendibile
Nel dominio non attendibile, i file ricevuti vengono sottoposti a verifica crittografica. Il diodo verifica le firme digitali, le catene di certificati e i vincoli di policy prima di accettare i dati. Le verifiche non superate vengono respinte e registrate nel log.
L'affidabilità in questo ambito è limitata alle chiavi pubbliche o ai certificati approvati, nonché alla logica di verifica e all'applicazione delle politiche. Di conseguenza, non viene attribuita alcuna affidabilità al livello di rete o al livello di trasporto.
Garanzie di sicurezza e risultati
Questa architettura offre solide garanzie di sicurezza. Anche se la rete di transito fosse completamente compromessa, gli aggressori non potrebbero falsificare dati attendibili né influenzare i sistemi attendibili. Tra le principali garanzie di sicurezza figurano:
- Flusso di dati unidirezionale imposto fisicamente
- Integrità e autenticità crittografiche indipendenti dal trasporto
- Eliminazione delle superfici di attacco interattive
- Resilienza contro l'intercettazione, la riproduzione e la modifica
- Chiara separazione delle funzioni e dei perimetri di revisione
Soluzioni su misura per garantire trasferimenti Secure di dati Secure
Grazie alla combinazione di diodi di dati, come MetaDefender Diode™, firme digitali e sicurezza a più livelli del trasporto, questa architettura consente il trasferimento sicuro di file tra domini diversi senza fare affidamento sulla fiducia di rete. Il progetto è particolarmente indicato per ambienti affidabili, infrastrutture critiche e sistemi regolamentati che richiedono un elevato livello di garanzia, presupposti di fiducia minimi e controlli verificabili.
Per saperne di più suOPSWAT a implementare questa architettura, contatta oggi stesso un esperto.
