Secure Cloud Gateway em Infraestruturas críticas (data-diodes)
- dionejpmc
- 26 de set. de 2023
- 3 min de leitura
O conceito de "diodo de dados" assegura a cibersegurança das máquinas e sistemas de controle, protegendo-os contra invasões. O hardware do gateway permite apenas comunicação unidirecional, garantindo que seja tecnicamente impossível acessar a máquina de fora para roubar ou manipular dados. O canal de comunicação reverso é desconectado eletricamente e só pode ser ativado para fins de configuração através de uma chave física controlada pelo usuário. Isso elimina tradicionais vulnerabilidades de hardware e segurança, como erros de configuração por parte do usuário ou brechas de segurança no firmware da unidade.
Com o surgimento da Internet das Coisas industrial e da digitalização, as portas de segurança unidirecionais estão sendo cada vez mais implantadas por empresas privadas para transmitir com segurança dados gerados por sistemas de controle industrial e segurança. Isso inclui usinas nucleares e outras instalações de geração de energia elétrica, instalações de manufatura e sistemas de transporte para outras redes (incluindo a Internet pública), enquanto as portas de segurança protegem as redes que contêm esses sistemas contra ataques.
Unidirecional significa que os dados podem viajar em apenas uma direção. Uma maneira razoável de pensar nas portas de segurança unidirecionais é como "válvulas unidirecionais para dados", permitindo que os dados fluam para fora, sem uma maneira de retornar. Um cenário comum é quando as portas unidirecionais realizam transferências de dados unidirecionais de uma rede de alta segurança para uma rede com um nível de segurança menor. Os dados podem ser transferidos enquanto a rede de alta segurança permanece protegida contra ataques usando essa conexão. Nesse cenário, o diodo protege os sistemas na rede de alta segurança que produzem os dados transferidos.
Diodos dados usa um link one-way para passar informações de um arede para outra. Eles são uma combinação de hardware, firmware e software,especialmente concebido para fazer transferências de dados rápido e confiável egarantido one-way.
Em ambientes industriais e infraestruturas críticas, a estabilidade e operacionalidade contínua são de extrema importância. A tecnologia de "diodo de dados" permite que os dados fluam unidirecionalmente, do ambiente operacional para sistemas de monitoramento, controle ou armazenamento na nuvem, sem permitir que ameaças externas acessem ou influenciem o ambiente operacional. Isso protege contra possíveis danos causados por intrusões cibernéticas.
A natureza unidirecional da tecnologia de "diodo de dados" também ajuda a mitigar riscos associados a erros humanos, como configurações incorretas ou ações não intencionais que poderiam comprometer a segurança da infraestrutura. Como o fluxo de dados é estritamente controlado, as chances de erros humanos que possam afetar o ambiente operacional são minimizadas.
Quando estiver usando um link one-way (diodo de dados), utilize os métodos a seguir como ponto de partida para compreender onde colocar seus sensores OT. Outros componentes que possam auxiliar no processo de Defense in Depth não foram especificados; no entanto, eles podem e devem ser implementados para auxiliar no processo de Security by Design.
A seguir uma arquitetura proposta Pordue composta por soluções Microsoft:
Sensores OT dentro do perímetro da rede . Nesse cenário, o sensor envia alertas de syslog UDP para alvos fora do perímetro através do diodo de dados.
Fonte: <https://learn.microsoft.com/pt-br/azure/defender-for-iot/organizations/best-practices/understand-network-architecture>
Os sensores de OT posicionados dentro da rede perimetral OT são isolados e requerem gestão local. Eles não têm capacidade de conexão com a nuvem nem podem ser administrados através do portal de nuvem. Isso significa que, por exemplo, a atualização desses sensores devem ser realizada manualmente, caso surja a necessidade. Por outro lado, se você estiver operando em uma rede link one-way e necessitar de sensores conectados à nuvem, gerenciados através de um portal em cloud, é essencial alocar esses sensores fora do limite da rede OT.
Sensores OT fora do perímetro da rede (Recomendável). Aqui o sensor recebe o tráfego de meio do diodo, unidirecionalmente da rede até a porta de monitoramento do sensor.
Fonte: <https://learn.microsoft.com/pt-br/azure/defender-for-iot/organizations/best-practices/understand-network-architecture>
Diodos VS Firewalls
Os diodos de dados foram projetados com base em tecnologia intransigente, destinada a impedir todo acesso não autorizado a sistemas de armas nucleares (owlcyberdefense).
Na verdade, não há discussao quando se trata da superioridade dos diodos de dados em relação aos firewalls de software, diodos de dados são, de fato, mais seguros. Os diodos de dados no geral se destacam por sua robustez física, fundamentada em um mecanismo de segurança baseado em hardware, garantindo uma confidencialidade absoluta e uma segregação completa entre redes. Em contraste, os firewalls operam com base em código e políticas configuráveis. Os diodos de dados não estão sujeitos a vulnerabilidades de software, ataques de dia zero ou configurações inadequadas que podem afetar as soluções de firewall. Os diodos de dados fortalecidos por hardware oferecem algo que os firewalls e outras soluções de segurança baseadas em software não conseguem proporcionar: proteção contra ameaças desconhecidas. Eles não requerem atualizações regulares nem manutenção para manterem sua segurança, e o desempenho de sua aplicação nunca diminui ao longo do tempo.
Fonte: https://owlcyberdefense.com/resource/difference-between-firewalls-data-diodes/
Autor: Joao Paulo Mendes de Carvalho
Comentários