Tường lửa 1 chiều Data Diode "siêu bảo mật" hay "siêu đau"?

(PLVN) - Hiện nay, có rất nhiều giải pháp phòng chống tấn công mạng như tường lửa Firewall, phòng chống tấn công chủ đích. 
Tường lửa 1 chiều Data Diode "siêu bảo mật" hay "siêu đau"?

An ninh mạng cho các cơ sở công nghiệp thực sự là vấn đề hàng đầu bởi nó có thể dẫn đến những hậu quả nghiêm trọng, ảnh hưởng đến quy trình công nghiệp cũng như gây thiệt hại cho doanh nghiệp. Các cuộc tấn công mạng là không ngừng và liên tục chống lại môi trường mạng công nghiệp SCADA/ ICS (viết tắt của Hệ thống thu thập dữ liệu và Điều khiển giám sát/Hệ thống điều khiển mạng công nghiệp) trên hệ thống OT (Operation Technology – công nghệ điều khiển).

Hầu hết các mạng công nghiệp sản xuất ICS/SCADA đã trải qua nhiều cuộc tấn công mạng gây ra vi phạm dữ liệu và/hoặc gây gián đoạn và ngừng hoạt động trong thời gian đáng kể đối với các hoạt động kinh doanh, nhà máy và thiết bị hoạt động, với nhiều cuộc tấn công của nhà nước quốc gia.

Hiện nay, có rất nhiều giải pháp phòng chống tấn công mạng như tường lửa Firewall, phòng chống tấn công chủ đích ATP và tường lửa 1 chiều Data diodes (đi-ốt dữ liệu)… để bảo vệ mạng công nghiệp SCADA/ICS.

Khái niệm về Data diodes - một thiết bị phần cứng chỉ cho phép dữ liệu ra khỏi vành đại được bảo vệ và ngăn chặn mọi dữ liệu đi vào - không phải là mới, nhưng nó đã được áp dụng gần đây trong lĩnh vực cơ sở hạ tầng quan trọng nhằm bảo vệ mạng OT trong khi vẫn cho phép truyền dữ liệu từ mạng OT ra mạng IT (Information Technology – Công nghệ thông tin).

Trong hoạt động bình thường, các máy được nối mạng có khả năng truyền và nhận dữ liệu. Khi kết nối giữa hai mạng, một trong số đó không đáng tin cậy, một Data diodes sẽ loại bỏ một trong các kênh truyền/nhận và thực thi một luồng đơn hướng ở mức phần cứng.

Sau nhiều năm phát triển, việc sử dụng Data diodes dữ liệu đã tăng lên tạo ra hai biến thể:

• Data diodes thuần túy: Thiết bị hoặc thiết bị mạng cho phép dữ liệu thố chỉ truyền theo một hướng, được sử dụng để đảm bảo an toàn thông tin hoặc bảo vệ các hệ thống kỹ thuật số quan trọng, như hệ thống điều khiển công nghiệp, khỏi các cuộc tấn công mạng vào trong.

• Cổng bảo mật một chiều USG (Unidirection Security Gateway): Kết hợp phần cứng và phần mềm chạy trong máy tính proxy trong mạng nguồn và mạng đích. Phần cứng, một Data diodes, thực thi tính đơn hướng vật lý và phần mềm sao chép cơ sở dữ liệu và mô phỏng các máy chủ giao thức để xử lý giao tiếp hai chiều. Cổng đơn hướng có khả năng chuyển đồng thời nhiều giao thức và loại dữ liệu. Một đặc điểm duy nhất là dữ liệu được truyền một cách xác định đến các vị trí được xác định trước với một "ngắt" giao thức cho phép dữ liệu được truyền qua diodes dữ liệu.

Trên lý thuyết, Data diodes hay USG nghe có vẻ tuyệt vời. Tuy nhiên thực tế chúng thực sự đưa ra nhiều vấn đề hơn là giải quyết. Đây là lý do tại sao?

Trước tiên, Data diodes loại trừ bất kỳ ứng dụng nào sử dụng giao tiếp TCP vì TCP là hai chiều. Điều này hạn chế dữ liệu cho truyền thông UDP một chiều. Trước hết, các datagram UDP được giới hạn chỉ dưới 1.500 byte.

Do đó, Data diodes ảnh hưởng đến việc thu thập sự kiện từ hệ thống. Syslog sử dụng UDP theo mặc định, hoạt động được với Data diodes. Tuy nhiên, nhiều giao thức khác đều sử dụng TCP (Windows DCOM/WMI, Check Point OPSEC/LEA, JDBC, FTP, SCP, SDEE,...). Nhiều hệ thống SCADA được xây dựng trên Windows và nhiều sự kiện do máy chủ Windows vượt quá 2.000 byte, vượt qua giới hạn datagram UDP.

Thứ hai, Data diodes chỉ đơn giản là ngăn chặn luồng dữ liệu theo một hướng, chúng không làm gì để chống lại phần mềm độc hại trong nội dung. Vì vậy, nó không cung cấp bất kỳ sự bảo vệ nào khỏi khả năng có nội dung độc hại trong dữ liệu được phép vào hoặc ra khỏi doanh nghiệp.

Nếu bạn cách ly một hệ thống hoặc mạng với một Data diodes, bạn có xu hướng cô lập nó khỏi thông tin, huyết mạch của bất kỳ quy trình kinh doanh nào. Vì vậy, trong nhiều trường hợp, diodes hoạt động như một chất ức chế và trong thời đại kết nối này, điều đó không thể chấp nhận được.

Tường lửa 1 chiều Data Diode "siêu bảo mật" hay "siêu đau"? ảnh 1
Sự khác nhau giữa mô hình bảo mật Data diodes và BSG 

Để giải quyết bài toán này, một số giải pháp Data diodes chấp nhận các kết nối TCP, như FTP hoặc SMTP đến một máy chủ chuyên dụng ở phía được bảo vệ, chuyển dữ liệu vào các datagram UDP và gửi chúng qua data diodes tới một máy chủ chuyên dụng khác ở phía bên kia mà tập hợp lại các datagram và bắt đầu một kết nối mới đến đích cuối cùng. Rõ ràng Data diodes có thể tạo ra sự phức tạp về kiến trúc mạng, từ đó làm tăng nguy cơ rủi ro an toàn thông tin cao. Lợi ích duy nhất của data diodes so với tường lửa là chúng loại bỏ yếu tố người dùng và nhà phát triển cẩu thả.

Do các data diodes được triển khai ở cấp độ phần cứng, người dùng không thể cấu hình sai và vì tính đơn giản của nó, không có khả năng một data diodes có lỗi thiết kế tiềm ẩn, hoặc ít nhất cho phép dữ liệu chảy ngược vào lớp mạng được bảo vệ.

Tóm lại, Data diodes hay USG là một giải pháp tốt. Nhưng nếu hệ thống của bạn cần tương tác với các mạng không tin cậy thì đã đến lúc bạn nên cân nhắc việc thay thế data diodes bằng các giải pháp tiên tiến hơn bảo vệ cho các nhà máy điện hạt nhân, nhà máy lọc dầu, nhà máy xử lý nước …

Theo một số chuyên gia an ninh mạng thì trong xu hướng cách mạng công nghệ 4.0 hiện nay, một số nước như Pháp, Đức, Anh, Hoa Kỳ.... đã thay thế Data diodes từ năm 2010 bằng giải pháp công nghệ khác tối ưu hơn là BSG (Bidirectional Security Gateways).

Theo: Securityweek, Cybercureme
Cùng chuyên mục

Đọc thêm

Khánh Hòa sẽ triển khai cấp 'thẻ xanh', 'thẻ vàng'

Một chốt tự quản bảo vệ “vùng xanh” ở Khánh Hòa.
(PLVN) - Chiều 18/9, ông Phạm Duy Lộc - Giám đốc Sở Thông tin và Truyền thông tỉnh Khánh Hòa cho biết, Sở này đã làm việc với Trung tâm Công nghệ phòng, chống COVID-19 quốc gia về việc ứng dụng công nghệ thông tin để cấp “thẻ xanh”, “thẻ vàng”.

Facebook ra mắt kính thông minh làm 'nổi sóng' mối lo về quyền riêng tư

Cơ quan giám sát quyền riêng tư của Ireland và Italy báo động về kính thông minh mới của Facebook (Ảnh minh họa)
(PLVN) - Ủy viên Quyền riêng tư về Dữ liệu Ireland (DPC) đã bày tỏ lo ngại về kính thông minh mới do Facebook hợp tác với Ray-Ban sản xuất, cho biết họ đã hỏi gã khổng lồ công nghệ liệu thiết bị có thể thông báo chính xác cho những người đang bị quay phim bằng loại kính này hay không.

Giấy đi đường nhận diện bằng mã QR-Code: Công nghệ góp phần chống dịch

Giấy đi đường nhận diện bằng mã QR-Code: Công nghệ góp phần chống dịch
(PLVN) -  Sau một tuần triển khai cấp Giấy đi đường trực tuyến bằng mã QR-Code, đã có hơn 11.000 người dân, người lao động và doanh nghiệp đăng ký thông qua địa chỉ website: congan.baclieu.gov.vn/wcatbl/giaydiduong. Điều này góp phần hạn chế tối đa việc tập trung đông người tại trụ sở UBND các xã, phường, thị trấn, đảm bảo an toàn phòng chống dịch trên địa bàn tỉnh Bạc Liêu.

Công ty Thuỷ điện Bản Vẽ triển khai công tác 'Chuyển đổi số' tới toàn thể CBCNV

Ứng dụng chuyển đổi số trong công tác vận hành nhà máy
(PLVN) - Thực hiện chủ đề năm 2021: “Chuyển đổi số trong Tập đoàn điện lực Quốc gia Việt Nam”, trong 9 tháng đầu năm Công ty đã triển khai các nội dung như thành lập Ban Chỉ đạo Chuyển đổi số và Ứng dụng công nghệ của cuộc cách mạng công nghiệp lần thứ 4 vào hoạt động sản xuất kinh doanh của Công ty Thuỷ điện Bản Vẽ.

Thúc đẩy phát triển Mạng lưới cán bộ trẻ ngành Nước Việt Nam - Úc

Lãnh đạo trẻ ngành nước Việt Nam - Úc tham dự diễn đàn trực tuyến.
(PLVN) - Sáng 15/9, tại Diễn đàn Lãnh đạo trẻ ngành Nước được tổ chức trong khuôn khổ “Tuần lễ ngành Nước Việt Nam - Úc 2021”, các cán bộ trẻ đã chia sẻ những thách thức về cơ chế, chính sách và kỹ thuật mà ngành nước một số nước Đông Nam Á, Nepal và Úc đang đối mặt, cũng như đề xuất các giải pháp và cơ hội hợp tác trong tương lai.

BIDV ủng hộ 25 tỷ đồng chung tay thực hiện chương trình “Sóng và máy tính cho em”

Phó Thống đốc thường trực NHNN Đào Minh Tú, đại diện Ngành ngân hàng trao tặng 100.000 máy tính cho Chương trình “Sóng và máy tính cho em”.
(PLVN) - Số kinh phí trên được Ngân hàng TMCP ĐT&PT Việt Nam (BIDV) công bố tại Lễ phát động Chương trình “Sóng và máy tính cho em” - một chương trình nhân văn hưởng ứng lời kêu gọi của Thủ tướng Chính phủ nhằm trang bị công cụ học tập trực tuyến cho các em học sinh, sinh viên có hoàn cảnh khó khăn ở các địa phương đang thực hiện Chỉ thị 16/CT-TTg.  

Hàn Quốc phạt Google gần 177 triệu USD

Ảnh minh họa.
(PLVN) - Ủy ban Thương mại Công bằng Hàn Quốc (KFTC) đã phạt Google 207 tỷ won (176,64 triệu USD), với lý do tập đoàn công nghệ Mỹ này đã lạm dụng vị thế thống lĩnh nhằm gây ảnh hưởng tới sự cạnh tranh trên thị trường hệ điều hành (OS) di động, Yonhap đưa tin ngày 14/9.

Gắn camera quét mã QR tại các chốt kiểm soát

Khuyến khích người dân kiểm tra cài đặt mã QR cá nhân trước ở nhà, tránh tình trạng đến chốt mới bắt đầu khai báo.
(PLVN) -  Đây là giải pháp mang lại nhiều lợi ích hơn trong việc kiểm soát tại các chốt trên địa bàn tỉnh Tây Ninh. Với thời gian khoảng 3 giây, việc kiểm tra không gây ra ùn ứ, hạn chế tiếp xúc gần, xác định nhân thân người lưu thông, tránh nguy cơ lây lan dịch bệnh trong cộng đồng.

Thí điểm cấp mã QR để người dân 'vùng xanh' ra đường

Ứng dụng khai báo y tế điện tử của TP HCM (Y tế HCM).
(PLVN) - Sở Thông tin và Truyền thông TP HCM vừa có văn bản đề nghị Ban Quản lý các khu chế xuất và công nghiệp, Ban Quản lý Khu Công nghệ cao, UBND Quận 7, huyện Củ Chi, huyện Cần Giờ phối hợp triển khai thí điểm ứng dụng “Y tế HCM” để kiểm soát người dân tham gia hoạt động sản xuất, kinh doanh an toàn.

MobiFone chung tay cung cấp 'Sóng và máy tính cho em'

Chủ tịch HĐTV Tổng công ty Viễn thông MobiFone Nguyễn Mạnh Thắng phát biểu tại Lễ phát động ủng hộ chương trình "Sóng và máy tính cho em".
(PLVN) - Tổng công ty Viễn thông MobiFone đã tổ chức sự kiện hưởng ứng chương trình “Sóng và máy tính cho em” do Chính phủ phát động, Bộ TT&TT, Bộ Giáo dục & Đào tạo chủ trì và phối hợp thực hiện.

Lãnh đạo doanh nghiệp U&I, VNDIRECT, FPT chia sẻ kinh nghiệm quản trị, kinh doanh trong đại dịch

Lãnh đạo doanh nghiệp U&I, VNDIRECT, FPT chia sẻ kinh nghiệm quản trị, kinh doanh trong đại dịch
(PLVN) - Với mong muốn cùng lãnh đạo các doanh nghiệp tìm ra giải pháp vượt qua khó khăn trong bối cảnh hiện tại, Viện Quản trị và Công nghệ FSB phối hợp cùng các chuyên gia Tập đoàn FPT, tổ chức chuỗi chương trình đào tạo – tọa đàm với chủ đề "Vaccine cho doanh nghiệp – Từ sống sót đến thịnh vượng".