Tường lửa 1 chiều Data Diode "siêu bảo mật" hay "siêu đau"?

(PLVN) - Hiện nay, có rất nhiều giải pháp phòng chống tấn công mạng như tường lửa Firewall, phòng chống tấn công chủ đích. 
Tường lửa 1 chiều Data Diode "siêu bảo mật" hay "siêu đau"?

An ninh mạng cho các cơ sở công nghiệp thực sự là vấn đề hàng đầu bởi nó có thể dẫn đến những hậu quả nghiêm trọng, ảnh hưởng đến quy trình công nghiệp cũng như gây thiệt hại cho doanh nghiệp. Các cuộc tấn công mạng là không ngừng và liên tục chống lại môi trường mạng công nghiệp SCADA/ ICS (viết tắt của Hệ thống thu thập dữ liệu và Điều khiển giám sát/Hệ thống điều khiển mạng công nghiệp) trên hệ thống OT (Operation Technology – công nghệ điều khiển).

Hầu hết các mạng công nghiệp sản xuất ICS/SCADA đã trải qua nhiều cuộc tấn công mạng gây ra vi phạm dữ liệu và/hoặc gây gián đoạn và ngừng hoạt động trong thời gian đáng kể đối với các hoạt động kinh doanh, nhà máy và thiết bị hoạt động, với nhiều cuộc tấn công của nhà nước quốc gia.

Hiện nay, có rất nhiều giải pháp phòng chống tấn công mạng như tường lửa Firewall, phòng chống tấn công chủ đích ATP và tường lửa 1 chiều Data diodes (đi-ốt dữ liệu)… để bảo vệ mạng công nghiệp SCADA/ICS.

Khái niệm về Data diodes - một thiết bị phần cứng chỉ cho phép dữ liệu ra khỏi vành đại được bảo vệ và ngăn chặn mọi dữ liệu đi vào - không phải là mới, nhưng nó đã được áp dụng gần đây trong lĩnh vực cơ sở hạ tầng quan trọng nhằm bảo vệ mạng OT trong khi vẫn cho phép truyền dữ liệu từ mạng OT ra mạng IT (Information Technology – Công nghệ thông tin).

Trong hoạt động bình thường, các máy được nối mạng có khả năng truyền và nhận dữ liệu. Khi kết nối giữa hai mạng, một trong số đó không đáng tin cậy, một Data diodes sẽ loại bỏ một trong các kênh truyền/nhận và thực thi một luồng đơn hướng ở mức phần cứng.

Sau nhiều năm phát triển, việc sử dụng Data diodes dữ liệu đã tăng lên tạo ra hai biến thể:

• Data diodes thuần túy: Thiết bị hoặc thiết bị mạng cho phép dữ liệu thố chỉ truyền theo một hướng, được sử dụng để đảm bảo an toàn thông tin hoặc bảo vệ các hệ thống kỹ thuật số quan trọng, như hệ thống điều khiển công nghiệp, khỏi các cuộc tấn công mạng vào trong.

• Cổng bảo mật một chiều USG (Unidirection Security Gateway): Kết hợp phần cứng và phần mềm chạy trong máy tính proxy trong mạng nguồn và mạng đích. Phần cứng, một Data diodes, thực thi tính đơn hướng vật lý và phần mềm sao chép cơ sở dữ liệu và mô phỏng các máy chủ giao thức để xử lý giao tiếp hai chiều. Cổng đơn hướng có khả năng chuyển đồng thời nhiều giao thức và loại dữ liệu. Một đặc điểm duy nhất là dữ liệu được truyền một cách xác định đến các vị trí được xác định trước với một "ngắt" giao thức cho phép dữ liệu được truyền qua diodes dữ liệu.

Trên lý thuyết, Data diodes hay USG nghe có vẻ tuyệt vời. Tuy nhiên thực tế chúng thực sự đưa ra nhiều vấn đề hơn là giải quyết. Đây là lý do tại sao?

Trước tiên, Data diodes loại trừ bất kỳ ứng dụng nào sử dụng giao tiếp TCP vì TCP là hai chiều. Điều này hạn chế dữ liệu cho truyền thông UDP một chiều. Trước hết, các datagram UDP được giới hạn chỉ dưới 1.500 byte.

Do đó, Data diodes ảnh hưởng đến việc thu thập sự kiện từ hệ thống. Syslog sử dụng UDP theo mặc định, hoạt động được với Data diodes. Tuy nhiên, nhiều giao thức khác đều sử dụng TCP (Windows DCOM/WMI, Check Point OPSEC/LEA, JDBC, FTP, SCP, SDEE,...). Nhiều hệ thống SCADA được xây dựng trên Windows và nhiều sự kiện do máy chủ Windows vượt quá 2.000 byte, vượt qua giới hạn datagram UDP.

Thứ hai, Data diodes chỉ đơn giản là ngăn chặn luồng dữ liệu theo một hướng, chúng không làm gì để chống lại phần mềm độc hại trong nội dung. Vì vậy, nó không cung cấp bất kỳ sự bảo vệ nào khỏi khả năng có nội dung độc hại trong dữ liệu được phép vào hoặc ra khỏi doanh nghiệp.

Nếu bạn cách ly một hệ thống hoặc mạng với một Data diodes, bạn có xu hướng cô lập nó khỏi thông tin, huyết mạch của bất kỳ quy trình kinh doanh nào. Vì vậy, trong nhiều trường hợp, diodes hoạt động như một chất ức chế và trong thời đại kết nối này, điều đó không thể chấp nhận được.

Sự khác nhau giữa mô hình bảo mật Data diodes và BSG
Sự khác nhau giữa mô hình bảo mật Data diodes và BSG 

Để giải quyết bài toán này, một số giải pháp Data diodes chấp nhận các kết nối TCP, như FTP hoặc SMTP đến một máy chủ chuyên dụng ở phía được bảo vệ, chuyển dữ liệu vào các datagram UDP và gửi chúng qua data diodes tới một máy chủ chuyên dụng khác ở phía bên kia mà tập hợp lại các datagram và bắt đầu một kết nối mới đến đích cuối cùng. Rõ ràng Data diodes có thể tạo ra sự phức tạp về kiến trúc mạng, từ đó làm tăng nguy cơ rủi ro an toàn thông tin cao. Lợi ích duy nhất của data diodes so với tường lửa là chúng loại bỏ yếu tố người dùng và nhà phát triển cẩu thả.

Do các data diodes được triển khai ở cấp độ phần cứng, người dùng không thể cấu hình sai và vì tính đơn giản của nó, không có khả năng một data diodes có lỗi thiết kế tiềm ẩn, hoặc ít nhất cho phép dữ liệu chảy ngược vào lớp mạng được bảo vệ.

Tóm lại, Data diodes hay USG là một giải pháp tốt. Nhưng nếu hệ thống của bạn cần tương tác với các mạng không tin cậy thì đã đến lúc bạn nên cân nhắc việc thay thế data diodes bằng các giải pháp tiên tiến hơn bảo vệ cho các nhà máy điện hạt nhân, nhà máy lọc dầu, nhà máy xử lý nước …

Theo một số chuyên gia an ninh mạng thì trong xu hướng cách mạng công nghệ 4.0 hiện nay, một số nước như Pháp, Đức, Anh, Hoa Kỳ.... đã thay thế Data diodes từ năm 2010 bằng giải pháp công nghệ khác tối ưu hơn là BSG (Bidirectional Security Gateways).

Đọc thêm