實體隔離對於現在的時空環境下,執行起來難以兼顧企業自動化的需求,然而,為了生產力而放棄這種機制,也使得這種需要高度保護的設施,像是工廠的生產環境、醫療院所的電子器材,以及政府單位的重要系統,曝露於IT環境的各式網路威脅。想要與資訊系統相互連接,進行必要的資料交換,又能維持這些設施的安全,透過單向閘道(Unidirectional Gateway,或是稱為Data Diode)傳輸資料,成為一種新興的防護機制。

隨著最近兩到三年,操作科技(OT)環境的資訊安全受到高度重視,這種單向網路傳輸的解決方案,近期有多款產品透過代理商陸續引進到了國內。例如,威雲科技代理的單向閘道系統DigiSAFE Data Diode,由新加坡科技工程有限公司(簡稱新科)開發軟體,並且委由智邦科技製造硬體。

DigiSAFE Data Diode網路系統的應用場景上,原先是針對政府機關和軍事單位裡,需要與外部網路隔離的環境溝通而設計,但隨著企業同時需要兼顧廠房的資安與數位轉型,單向網路系統也開始受到許多公司行號的關注。

從設備的架構上來看,DigiSAFE Data Diode大致可區分成2個部分,分別是傳送端(Sender)與接收端(Receiver),這兩個設備之間由特製的光纖傳輸線連接,使得網路流量只能從傳送端往接收端輸送,而無法從接收端回送到傳送端設備。

上述兩個單向網路傳輸設備,又各自與企業不同的網路連接,讓指定的裝置能藉由這種機制進行單向通訊,例如,資訊人員在企業IT環境中,使用WSUS派送修補軟體,到廠房環境裡的Windows嵌入式設備上,就可以透過這種機制傳輸,並且留下相關的記錄。

透過單向傳輸閘道進行網路通訊的優點在於,企業可藉此規畫指定的連線,讓原本需要利用其他中介裝置存放(例如隨身碟、光碟片等),再透過人工執行傳送的工作,變成能夠以電腦自動執行,省下手動操作的不便,同時也能夠避免各種人為操作可能會出現的錯誤,或者是負責人員不慎將機密資料攜出的風險。

新科推出的DigiSAFE Data Diode 3284單向網路閘道,總共有兩個設備,分別是上方的傳送器(Sender)與下方的接收器(Receiver),連接一般網路及受隔離的網路,提供單向傳輸機制。

透過專屬的光纖網路線形成單向網路傳輸系統

理論上,要讓網路流量單向傳輸,部署一般的防火牆設備來管制流量,我們就能藉由相關的政策,即可來達到目的。但要透過硬體元件來做到只能單向傳輸流量,具體來說又要如何做到呢?在DigiSAFE Data Diode上,是經由一條光纖網路線來連接傳輸端和接收端,利用光傳輸只會向前而不會返回的特性,來達成這樣的目的。

而這條專用的網路線,也和一般光纖的線材不同。為了能夠讓網路流量流入與輸出,通常光纖網路線是兩條一組,也就是一端會有2個接頭,而DigiSAFE Data Diode專用的光纖線路,則是僅有一條線,兩端各只有1個接頭。換言之,這條網路線是形成單向網路環境的關鍵,因為它,網路傳輸只能從其中一端設備傳送到另一端。

為了對應這樣的配置,我們可以看到在傳輸端和接收端設備上,所提供專屬的連接埠轉接器,僅有半邊是能夠連接前述的光纖網路線,另外一半則是被封起來,而無法連接一般的網路線, 以防管理員不小心拿成標準線材,來連接兩個單向網路系統裡的專屬設備。

至於在單向網路系統裡,其中一端負責傳送、另一端執行資料接收,以及送達隔離網路環境的作業,則由DigiSAFE Data Diode兩款設備來控制。單向網路傳送器僅負責將管理者指定的網路流量,收取後傳送到接收器,接收器再將收到的流量,送到隔離環境裡的特定端點電腦,或者是伺服器。在DigiSAFE Data Diode單向網路傳輸系統的兩個設備上,我們也可以從管理介面看到其不同之處。

大致上來說,傳輸端負責的是取得一般網路環境的資料來源,而接收端則是將收到的資料,再傳送到隔離網路環境裡的網路位置,因此,雖然在兩者的主控臺的儀表板中,都會顯示管理者開放了那些通訊協定,但在DigiSAFE Data Diode接收端的部分,多了兩項傳輸端所沒有的資訊,一是偵測傳輸器是否仍維持連線的心跳燈號,另一個是即時傳輸的速率,若是管理者需要檢查這套系統的運作是否正常,就要先從接收器的管理介面著手。

基本上,我們在兩款設備的主控臺上,就能看到所支援的通訊協定,這是針對傳輸器對於一般網路,以及接收器與隔離網路之間的傳輸能力,至於DigiSAFE Data Diode的傳輸器與接收器之間,則是藉由新科專屬的通訊協定來進行。

可得知對外網路開放的連接埠類型

在DigiSAFE Data Diode的管理介面上,主控臺儀表板優先呈現的內容,是目前設備裡的連線狀態,包含了本身連接埠的通訊情形、各種協定的啟用與否,以及自己的服務運作狀態等。

形成單向傳輸的光纖線路

有別於一般光纖網路線是兩條線一組,分別提供傳輸與回傳,連接DigiSAFE Data Diode 3284傳送器和接收器的網路線,則是只有一條,因此只能從一般網路傳送流量到受隔離網路,而無法反向傳輸。

傳輸器與接收器透過專屬單向網路線連接

新科DigiSAFE Data Diode 3284運作的方式,是藉由圖中黃色的單向光纖網路線,將傳輸端與接收端連接,使得網路流量只能從上方的傳送器,送往下方的接收器。

具備兩種型號,可選擇單一裝置,或傳送端和接收端為獨立設備款式

目前新科DigiSAFE Data Diode總共推出了兩種型號,分別是3283和3284,前者為1U機身,傳送端與接收端的連接埠在同一個面版;後者則採用兩個1U設備配置,傳送端及接收端互為獨立的兩個設備。

因為上述規畫的差異,也使得兩套系統的網路連接埠有所不同──3283分別對於傳送端與接收端,提供1個GbE的RJ-45埠、1個10GbE的SFP埠,以及1個管理用的RJ-45埠,不提供擴充網路介面的能力。

而3284的兩個設備上,則是各有1個GbE的SFP埠、8個RJ-45埠,以及1個管理用的RJ-45埠,若是企業需要更多的連接埠,3284也提供擴充介面,能連接更多網路環境裡的設備。

從其他的規格來看,兩種型號的傳送端或是接收端,都內建了8GB記憶體,以及500GB的資料暫存空間,吞吐量都是500Mbps。記憶體和儲存空間的部分,兩者都可擴充。差異在於,3283記憶體最大可升級到64GB,而3284則能增加到32GB。

對於企業和工業環境網路協定的支援,兩款DigiSAFE Data Diode不只能適用一般境常見的TCP、UDP、HTTP,以及HTTPS等協定,能夠傳送Syslog和SNMP追蹤流量,並且可以監控多種網路共用資料夾的存取協定,包含了SMB、SAMBA、CIFS、FTP,以及SFTP等。再者,新科針對工業控制環境的操作科技上常用的協定提供支援,因此,這個系列的設備也能傳輸OPC UA、OPC DA(又稱OPC Classic)、PI系統、Modbus,以及MQTT協定,還有視訊監視器傳輸影像時,會用到的即時串流協定RTSP等。

針對管理這系列單向閘道系統的機制,新科則是提供了內建的設備健康度監控功能,並且能夠透過發送Syslog、電子郵件、特定檔案,或者是SNMP追蹤流量等管道,發出警示通知。而在資訊安全的要求上,DigiSAFE Data Diode則是符合新加坡雲端安全聯盟(CSA Singapore)所制訂的安全評估共同準則(Common Criteria,CC)。

僅提供指定來源和目的地路徑的單向資料傳送,需事先進行設定

在DigiSAFE Data Diode的單向傳輸系統裡,並非接上網路線,任何流量都可以從來源的一般網路,傳送到受隔離的網路環境裡,管理者必須指定所需傳輸的來源和目的地,由這套系統偵測特定來源是否有需要傳送的資料,再將資料透過經由傳送器和接收器,送達到目的網路上的指定位置,讓在隔離環境的使用者,也能取用這些原本企業在一般網路環境提供的共用資料。

具體的設置方式來說,針對來源的部分,IT人員需要於傳送端設備的管理介面上,填入有關的設定。以SMB共享資料夾的資料鏡像複製(SMB Mapping)為例,就要提供一般網路上的網路資料夾路徑,以及存取的帳號和密碼等資料,這樣該系統才會監控這個共享資料夾的動態。

接著,我們也要在接收端設備的管理介面上,找到已經與傳輸端連結的來源資料夾,並且輸入隔離網路裡的共用資料夾設定,如此一來,這套單向傳輸系統從一般網路偵測到新資料時,便會傳送到前述的指定路徑,讓位於隔離網路環境的電腦也能存取相關內容。

為了驗證在單向傳輸網路支援的應用,我們到威雲科技看他們的測試。在該公司架設的環境裡有兩個網路,他們模擬了多種情境,包含傳送共享資料夾內容(透過SMB協定)、電子郵件、系統事件記錄(Syslog),以及SNMP網路流量追蹤等,將資料從外部網路的伺服器,透過DigiSAFE Data Diode 3284,傳送到受隔離的內部網路環境。

此單向傳輸的第一階段驗證而言,結果確實如預期,將所有資料轉送到指定的內部網路伺服器。這些資料包含了1,000個共享資料夾檔案、1,000封測試郵件(EML檔案)、1,010個Syslog事件記錄,以及1,000筆測試的SNMP流量追蹤封包。

接下來,我們也驗證DigiSAFE Data Diode 3284是否只能單向傳輸資料。

對於SMB協定的鏡像資料複製而言,我們在目的地伺服器上,新增了10個檔案,結果Data Diode沒有將這些資料複製到來源的檔案伺服器裡。

而在DigiSAFE Data Diode的運作原理上,該系統的接收端只從傳輸端接收資料,然後送到內部網路伺服器上,指定的資料夾路徑,因此這樣的結果符合預期。但反過來說,若是企業想要確保內外部的共享資料夾內容一致,可能就需要其他的機制來比對,才能防範上述情境發生。

針對電子郵件的傳輸上,我們也嘗試反向將信件回傳。因為DigiSAFE Data Diode的接收端不予處理,導致TCP連線無法建立,我們產生測試信件的應用程式便處於等候連線的狀態,沒有將信寄出。

類似電子郵件反向傳輸出現的連線異常情況,也發生在Syslog的測試過程。我們試圖在受隔離網路的檔案伺服器產生Syslog事件記錄,發送到外部網路的伺服器上,結果事件記錄產生器會顯示TCP錯誤10060的訊息,並指出原因是連線逾時。

至於SNMP追蹤封包的部分,我們也如同先前測試正向傳輸,用批次檔下達發送的指令,基於這裡使用UDP協定162埠,沒有特別檢查是否送達,也因此如同前述驗證共享資料夾同步的過程,完全不會出現任何的錯誤訊息,但因為DigiSAFE Data Diode的接收器沒有配置相關的執行規則,所以也同樣沒有將封包回傳到外部網路的伺服器上。

新科提出的單向網路閘道系統架構

在新科的單向傳輸網路結構上,主要會有傳送端(Sender)與接收端(Receiver)兩個節點設備,兩者之間透過單向光纖線路(綠色箭頭)連接,藉此達到只進不出的流量的效果。

傳送端與接收端則透過RJ-45網路線,與企業的一般網路及受隔離環境連接,而形成專屬的連絡通道。以圖中的示意圖為例,左側端點電腦透過DigiSAFE Data Diode,能傳輸資料到右端位於另一個網路上的電腦,但該臺電腦無法回傳資料到端點電腦的網路上。

可傳送Syslog到隔離網路環境,但無法回傳

為了驗證經由DigiSAFE Data Diode只能單向傳輸,我們嘗試從接收端的檔案伺服器反向傳送Syslog記錄,結果出現無法建立TCP連線的逾時錯誤訊息。

提供管制流量存取機制,資料傳輸有記錄可供查詢

值得留意的是,單向網路與一般的實體隔離措施之間,資料傳送有項最大的不同點,那就是前者會與兩個網路環境同時連接,而非只會接觸其中一端。因此,監控與管理存取的流量,在這套單向網路系統之中也是相當重要的功能。

以DigiSAFE Data Diode而言,原廠就在儀表板上,顯示設備所啟用的通訊協定。這裡的協定包含了一般IT環境裡常見的TCP、UDP,以及上網應用有關的HTTP和SMTP等,也涵蓋企業檔案共享資料夾會用到的SMB等。除了上述的協定之外,我們也看到這款設備支援了OT環境可能會出現的MQTT、Modbus,以及OPC UA等協定。

假如企業網路裡採用的通訊協定,是DigiSAFE Data Diode尚未支援的類型,代理商表示,原廠也提供客製化服務,增加對應的功能模組。

而在管理介面上,企業可管制上述於DigiSAFE Data Diode啟用的通訊協定,傳輸設備只接收從特定連接埠監聽的資料。換言之,企業能夠配置平常較少使用的連接埠,來避免遭到攻擊者濫用的機會。

如果企業想要加強安全性,也能指定須通過使用者身分驗證,才可以執行傳輸的工作。

若要持續監控上述的網路流量傳輸狀態,DigiSAFE Data Diode提供事件記錄可供查詢,或是能把這些記錄傳送到資安事件管理平臺(SIEM),以便進一步分析。

假如出現流量異常,或是這套系統的傳輸設備出現暫存空間不足等情形,該系統可以透過電子郵件等方式,通知管理者進行處理。

能限制僅收送特定連接埠的內容

管制傳輸流量的類型,以避免遭到攻擊者濫用而傳送無關工作流程的資料。以圖中的管理介面為例,這裡規範產線設備常見的MQTT協定,Data Diode只會從1883埠接收資料。

為了確保傳輸內容安全,原廠建議可搭配檔案消毒機制先行過濾

嚴格來說,新科這套單向網路傳輸系統的功能,主要還是偏重於流量傳輸的管理,對於流量是否暗藏了有害的內容,該系統沒有相關的偵測機制。因此,新科建議企業可以另外採用檔案消毒與重組系統(CDR),在傳送資料到單向閘道傳輸器前,檢查檔案裡是否出現有害的程式碼片段,經過CDR消除,重新組合成無害檔案。

不過,CDR執行檔案檢測的工作,是外部網路將資料送到DigiSAFE Data Diode之前。雖然原廠的單向網路部署示意圖裡,提到能夠與這類系統的搭配,但在DigiSAFE Data Diode的管理介面上,我們沒有看到相關設定介面。管理者若是想要得知傳輸資料的清理情況,仍然需要存取CDR的管理介面,才能得知那些資料可能存在有害內容。

可搭配CDR檢測傳送資料是否安全

在DigiSAFE Data Diode的應用情境裡,原廠建議要結合檔案消毒與重組系統(CDR)來運作,先進行處理後,再經由他們的單向網路設備傳送到隔離環境使用。

 

產品資訊

新科DigiSAFE Data Diode

●建議售價:廠商未提供

●代理商:威雲科技

●系統組成:傳送器、接收器

●機身大小:傳送器和接收器皆為1U

●吞吐量:500Mbps

●記憶體:8GB,最高可擴充至32GB

●可用硬碟空間:500GB,可升級或更換為固態硬碟

●網路介面:8個RJ-45埠,並提供擴充介面

 ●網路協定支援:HTTP、HTTPS、TCP、UDP、SNMP、OPC UA、Modbus、MQTT等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容