단방향 네트워크

Unidirectional network

단방향 네트워크(단방향 게이트웨이 또는 데이터 다이오드라고도 함)는 데이터를 한 방향으로만 전송할 수 있는 네트워크 어플라이언스 또는 장치입니다.데이터 다이오드는 보안 분류가 다른 여러 네트워크 간의 연결 역할을 하는 방어 등 보안 수준이 높은 환경에서 가장 일반적으로 볼 수 있습니다.산업용 IoT와 디지털화의 증가를 감안할 때, 이 기술은 원자력 발전소, 발전, [1]철도 네트워크와 같은 안전 중요 시스템에 대한 산업 통제 수준에서 찾아볼 수 있다.

개발 후에 데이터 다이오드만 네트워크 기기 또는 장치 데이터 한 방향으로만 여행하는 산업용 제어 시스템과 같은 인바운드 사이버 attacks,[2][3]하드웨어와 소프트웨어 runn의 조합에로부터 비판적인 디지털 시스템의 정보 보안 또는 보호에 사용되게로 인해 발전되었다.왕에소스 및 대상 네트워크의 프록시 시스템.하드웨어는 물리적 단방향성을 적용하고 소프트웨어는 데이터베이스를 복제하고 프로토콜 서버를 에뮬레이트하여 양방향 통신을 처리합니다.데이터 다이오드는 이제 여러 프로토콜과 데이터 유형을 동시에 전송할 수 있습니다.시큐어 부트, 증명서 관리, 데이터 무결성, 전송 에러 정정(FEC), TLS 경유 시큐어 통신 등, 폭넓은 사이버 시큐러티 기능을 갖추고 있습니다.고유한 특성은 데이터가 데이터 다이오드를 통해 전송될 수 있는 프로토콜 "브레이크"를 사용하여 결정적으로(사전 지정된 위치로) 전송된다는 것입니다.

데이터 다이오드는 보안 수준이 높은 군사 및 정부 환경에서 흔히 볼 수 있으며, 현재는 석유 및 가스, 수도/폐수, 비행기(비행 제어 장치와 기내 엔터테인먼트 시스템 사이), 산업용 [4]IoT 제조 및 클라우드 연결과 같은 부문에서 널리 보급되고 있습니다.새로운 규제로[5] 인해 수요가 증가하고 용량이 증가함에 따라 주요 기술 벤더는 핵심 기술의 비용을 절감했습니다.

역사

최초의 데이터 다이오드는 80년대와 90년대에 정부 기관에 의해 개발되었다.이러한 조직은 기밀 정보로 작업하기 때문에 네트워크의 보안을 확보하는 것이 가장 중요합니다.이러한 조직이 주로 사용하는 솔루션은 에어갭이었습니다.그러나 전송 가능한 데이터의 양이 증가하고 연속적이고 실시간적인 데이터 스트림의 중요성이 커짐에 따라 이러한 조직은 자동화된 솔루션을 찾아야 했습니다.

보다 많은 표준화를 모색하기 위해 점점 더 많은 조직이 자신의 활동에 더 적합한 솔루션을 찾기 시작했습니다.안정적인 조직이 만든 상용 솔루션은 보안 수준과 장기적인 지원을 고려할 때 성공했습니다.

미국에서는 전력회사, 석유 및 가스회사가 수년간 데이터 다이오드를 사용해 왔으며 규제당국은 안전계기시스템(SIS)에서 장비와 프로세스를 보호하기 위해 데이터 다이오드를 사용하도록 권장하고 있습니다.현재 원자력규제위원회(NRC)는 데이터 다이오드의 사용을 의무화하고 있으며, 전기와 원자력 외에 많은 다른 부문도 데이터 다이오드를 [1]효과적으로 사용한다.

유럽에서는 여러 안전 중요 시스템의 규제 기관과 운영자가 단방향 [6]게이트웨이의 사용에 대한 규제를 권고하고 구현하기 시작했다.

2013년, 프랑스 네트워크 및 정보 보안 기관 (ANSSI)이 지시한 산업 제어 시스템 사이버 보안은 철도 교환 시스템과 같은 등급 3 네트워크를 하위 등급 네트워크 또는 기업 네트워크에 연결하는 데 방화벽을 사용하는 것이 금지되며, 단방향 기술만 [5]허용된다고 밝혔습니다.

캐비닛의 단방향 게이트웨이

적용들

  • 안전에 중요한 네트워크 실시간 감시
  • 시큐어 OT – IT 브릿지
  • 중요한 OT 네트워크의 안전한 클라우드 연결
  • 데이터베이스 리플리케이션
  • 데이터 마이닝
  • 신뢰와 하이브리드 백엔드 cloud 해결책(/공적/사적)호스팅 된.
  • 데이터 시장의 자료를 입수하다. 교환.
  • 보안 credential/ 인증서 보급
  • cross-data 기지 공유 보안
  • 더 적은 안전한 네트워크 높은 보안 네트워크(인쇄 비용을 줄이는)에서 보안 인쇄.
  • 및 운영 애플리케이션 전송 시스템은 불안정한 네트워크에서 높은 보안 네트워크에 업데이트합니다.
  • 고도의 보안 네트워크에서 시간 동기화.
  • 파일 전송
  • 비디오 스트리밍
  • 개방critical/confidential networks[7]까지 Sending/receiving 경보나 경보.
  • 개방critical/confidential 네트워크로 Sending/receiving 이메일.
  • Government[8]
  • 상업 companies[9]

사용하다

Unidirectional 네트워크 장치, 산업 제어 시스템 같은 중요한 디지털 시스템의 사이버 공격으로부터 보호, 정보 보안을 보장하기 위해 사용된다.이러한 장치의 사용 그들이 다른 보안의 분류 2이상의 네트워크 간의 연결 역할을 한 방어, 등과 같은 고도의 보안 환경에서 흔하다, 기술은 단 방향 통신 중요한 디지털 시스템 신뢰할 수 없는 네트워크 인터넷에 연결까지 outbound을 시행하는 데 사용되고 있다.

단 방향 네트워크의 물리적 특성 데이터만이 네트워크 연결의 한쪽 면에서 다른 사람으로 그리고 다른 방법이 없을 전달할 수 있습니다.이것은, 「로우 사이드」또는 「신뢰할 수 없는 네트워크」로부터 「하이 사이드」또는 「신뢰할 수 있는 네트워크」로, 또는 그 반대로 할 수 있습니다.첫 번째 경우 하이사이드 네트워크의 데이터는 기밀로 유지되며 사용자는 [10]로우사이드로부터의 데이터에 대한 접근을 유지한다.이러한 기능은 기밀 데이터가 인터넷에 접속할 필요가 있는 네트워크에 보존되어 있는 경우, 매력적입니다.높은 쪽은 낮은 쪽에서 인터넷 데이터를 수신할 수 있지만, 높은 쪽의 데이터는 인터넷 기반 침입에 액세스 할 수 없습니다.두 번째 경우, 안전에 중요한 물리적 시스템에 대한 온라인 모니터링을 가능하게 하면서 물리적 손상을 일으킬 수 있는 모든 인터넷 기반 공격으로부터 보호할 수 있습니다.어느 경우든 보안 보장은 본질적으로 물리적이기 때문에 로우 네트워크와 하이 네트워크가 모두 손상되어도 접속은 단방향으로 유지됩니다.

단방향 네트워크 접속을 사용하는 일반적인 모델은 2가지가 있습니다.기존 모델에서 데이터 다이오드의 목적은 기밀 데이터의 안전한 기계로부터의 내보내기를 방지함과 동시에 안전하지 않은 기계로부터의 데이터 Import를 가능하게 하는 것이다.대체 모델에서는 다이오드를 사용하여 보호된 기계에서 데이터를 내보내는 동시에 해당 기계에 대한 공격을 방지합니다.이러한 내용에 대해서는, 이하에 자세하게 설명합니다.

보안이 낮은 시스템으로의 단방향 흐름

퍼블릭 네트워크로부터의 리모트/외부 공격으로부터 보호할 필요가 있는 시스템을 포함합니다.이러한편, 이러한 네트워크에 정보를 공개합니다.예를 들어, 전자 투표와 함께 사용되는 선거 관리 시스템은 선거 결과를 대중에게 공개하는 동시에 공격을 [11]받지 않아야 한다.

이 모델은 네트워크 내의 데이터를 보호하는 것이 네트워크의 신뢰성 높은 제어 및 올바른 운용보다 덜 중요한 다양한 인프라스트럭처 보호 문제에 적용할 수 있습니다.를 들어 댐 하류에 거주하는 공공은 유출에 대한 최신 정보를 필요로 하며, 동일한 정보는 수문의 제어 시스템에 대한 중요한 입력이다.이러한 상황에서 정보의 흐름은 안전한 통제 시스템에서 일반으로, 그 반대는 아닌 것으로 하는 것이 중요하다.

보다 안전한 시스템으로의 단방향 흐름

이 카테고리의 단방향 네트워크애플리케이션의 대부분은 방위 및 방위 청부업자입니다.이러한 조직들은 전통적으로 기밀 데이터를 인터넷 연결과 물리적으로 분리하기 위해 에어 갭을 적용했습니다.이러한 환경 중 일부에 단방향 네트워크가 도입되면 기밀 데이터가 있는 네트워크와 인터넷 접속이 있는 네트워크 간에 어느 정도의 접속이 안전하게 존재할 수 있습니다.

Bell-LaPadula 보안 모델에서는 컴퓨터 시스템의 사용자는 자신의 보안 수준 이상의 데이터만 생성할 수 있습니다.이는 정보 분류 계층이 존재하는 컨텍스트에 적용됩니다.각 보안 수준의 사용자가 해당 수준 전용 머신을 공유하고 머신이 데이터 다이오드로 연결되어 있으면 Bell-Lapadula 구속조건을 엄격하게 [12]적용할 수 있습니다.

혜택들

통상, IT네트워크가 허가 유저에게 DMZ 서버 액세스를 제공하는 경우, 데이터는 IT네트워크로부터의 침입에 취약합니다.단방향 게이트웨이가 중요한 측 또는 OT 네트워크를 비즈니스 및 인터넷 접속을 통해 개방된 측과 기밀 데이터를 사용하여 분리함으로써 조직은 필요한 접속을 가능하게 하고 보안을 확보할 수 있습니다.트래픽 흐름 제어는 본질적으로 [13]물리적이기 때문에 IT 네트워크가 손상되어도 마찬가지입니다.

  • 양방향 [2]트래픽을 활성화하기 위해 데이터 다이오드가 바이패스되거나 악용되는 사례가 보고되지 않았습니다.
  • 유지해야 할 규칙이 없으므로 장기 운영 비용(OPEx) 절감다만, 인스톨 되는 소프트웨어 업데이트가 있습니다.대부분의 경우 이러한 디바이스는 [2]벤더에 의해 유지보수가 필요합니다.
  • 단방향 소프트웨어 레이어는 RX 또는 TX [2]회선의 물리적인 절단 때문에 쌍방향 트래픽을 허용하도록 설정할 수 없습니다.

약점

  • 2015년 6월 현재, 단방향 게이트웨이는 아직 일반적으로 사용되거나 잘 [2]이해되지 않았습니다.
  • 단방향 게이트웨이는 대부분의 네트워크 트래픽을 라우팅할 수 없으며 대부분의 [2]프로토콜을 중단할 수 없습니다.
  • 비용; 데이터 다이오드는 원래 비쌌지만, 현재는 저비용 솔루션을 사용할 수 있습니다.
  • 양방향 데이터 흐름이 필요한 특정 사용 사례는 달성하기 어려울 수 있습니다.

바리에이션

단방향 네트워크의 가장 단순한 형태는 변경된 광섬유네트워크 링크입니다.한 방향으로 송수신 트랜시버를 분리 또는 절단하여 링크 장애 보호 메커니즘을 디세블로 합니다.일부 상용 제품은 이 기본 설계에 의존하지만 다른 소프트웨어 기능을 추가하여 응용 프로그램에 링크를 통해 데이터를 전달할 수 있는 인터페이스를 제공합니다.

전광학 데이터 다이오드는 매우 높은 채널 용량을 지원할 수 있으며 가장 단순한 것 중 하나입니다.2019년 Controlled Interfaces는 Arista 네트워크 스위치 플랫폼 쌍에서 100G Commercial Off The Shelf 트랜시버를 사용하여 단방향 광섬유 링크(현재 특허 취득)를 시연했습니다.특별한 드라이버 소프트웨어는 필요 없습니다.

다른 보다 정교한 상용 제품을 사용하면 일반적으로 양방향 링크가 필요한 여러 프로토콜의 단방향 데이터 전송을 동시에 수행할 수 있습니다.독일 기업 INFODAS와 GENUA는 마이크로커널 운영 체제를 사용하여 단방향 데이터 전송을 보장하는 소프트웨어 기반("논리") 데이터 다이오드를 개발했습니다.소프트웨어 아키텍처로 인해 이러한 솔루션은 기존 하드웨어 기반 데이터 다이오드보다 더 빠른 속도를 제공합니다.

ST Engineering은 여러 데이터 다이오드 및 기타 소프트웨어 컴포넌트로 구성된 자체 Secure e-Application Gateway를 개발하여 인터넷을 통한 실시간 양방향 HTTP(S) 웹 서비스 트랜잭션을 가능하게 하고 동시에 악의적인 주입과 데이터 [14]유출로부터 보안 네트워크를 보호합니다.

2018년에서 지멘스는 모바일은 공병 전장 평가 안전성 평가를 달성하기 위해 전자기 유도와 새로운 칩 디자인을 사용합니다,촐 수 있도록 4[15](올케)안전 무결성 수준으로 올라갔고 기존 안전성에 치명적인 시스템의 보안 연결을 보장하는 데이터 다이오드 공업 단향성의 게이트 웨이 솔루션 데이터 캡쳐 유닛을 발표했다.ureIoT를 통해 데이터 분석 및 기타 클라우드 호스팅 디지털 [16]서비스를 제공합니다.

미국 해군연구소(NRL)는 네트워크 펌프라고 불리는 자체[17] 단방향 네트워크를 개발했습니다.이는 DSTO의 작업과 많은 면에서 유사하지만, 확인 응답을 전송하기 위해 하이사이드에서 로우사이드로 제한된 백채널을 전송할 수 있다는 점을 제외합니다.이 기술은 네트워크를 통해 더 많은 프로토콜을 사용할 수 있게 하지만,[18] 수신확인의 타이밍을 인위적으로 지연시킴으로써 하이사이드와 로우사이드 모두가 손상되면 잠재적인 비밀 채널을 도입합니다.

구현에 따라 서드파티 인증 및 인증 수준도 달라집니다.군사적 맥락에서 사용하기 위한 교차 도메인 가드는 광범위한 제3자 인증 및 [19]인증을 보유하거나 요구할 수 있습니다.단,[20] 산업용 데이터 다이오드는 용도에 따라 제3자 인증 및 인증을 전혀 보유하지 않거나 전혀 요구하지 않을 수 있습니다.

주요 벤더

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b "Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies - United States Department of Homeland Security" (PDF).
  2. ^ a b c d e f "SANS Institute Tactical Data Diodes in Industrial Automation and Control Systems".
  3. ^ "National Institute of Standards and technology. Guide to Industrial Control Systems (ICS) Security" (PDF).
  4. ^ "IoT Security".
  5. ^ a b "ANSSI - Cybersecurity for Industrial Control Systems" (PDF).
  6. ^ "German VDMA Industrie 4.0 Security Guidelines recommends the use of data diodes to protect critical network segments" (PDF).
  7. ^ "Real-time Monitoring".
  8. ^ Australian Government Information Management Office 2003, 재무 및 행정부의 별빛과 함께 시스템 보안, 2011년 4월 14일 참조, [1] 2011년 4월 6일 Wayback Machine 아카이브
  9. ^ Wordsworth, C 1998, 미디어 릴리즈:Minister Awards Pioneer In Computer Security 2011년 4월 14일, [2] Wayback Machine에서 2011년 3월 27일 아카이브 완료
  10. ^ Slay, J & Turnbull, B 2004, "보안 전자상거래 환경에서 단방향 네트워크 브릿지의 사용과 한계" (INC 2004 Conference, 2004년 7월 6-9일 영국 플리머스)
  11. ^ 더글러스 W. 존스와 톰 C.Bowersox, 데이터 다이오드를 사용한 안전한 데이터 내보내기감사, 2006 USENIX/AQULATE 전자투표 테크놀로지 워크숍 진행, 2006년 8월 1일 밴쿠버.
  12. ^ Curt A. Nilsen, 안전하지 않은 컴퓨터에서 안전한 컴퓨터로 데이터를 전송하는 방법, 미국 특허 5,703,562, 1997년 12월 30일.
  13. ^ "Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies - United States Department of Homeland" (PDF).
  14. ^ "ST Engineering Data Diode in Industries" (PDF).
  15. ^ "Siemens Data Capture Unit enables digital services".
  16. ^ "Innotras 2018 highlights".
  17. ^ "Archived copy" (PDF). Archived from the original (PDF) on 11 November 2020. Retrieved 11 February 2015.{{cite web}}: CS1 maint: 제목으로 아카이브된 복사(링크)
  18. ^ 명, 홍콩, 모스코위츠, IS & Chincheck, S 2005, '펌프: 10년간의 은밀한 재미'
  19. ^ "Cross-Domain Solutions". Lockheed Martin. Retrieved 6 March 2019.
  20. ^ "Data Diodes". MicroArx. Retrieved 6 March 2019.

외부 링크