Đôi nét về giải pháp Data Diode truyền dữ liệu một chiều an toàn
Ngày nay, công nghệ truyền tin tạo điều kiện thuận lợi cho việc trao đổi thông tin giữa các thiết bị và các mạng. Tuy nhiên, một thực tế chung trong kiến trúc mạng là phải thêm các hàng rào bảo vệ giữa các mạng tin cậy và mạng không tin cậy. Trong hướng dẫn của hệ thống điều khiển và tự động công nghiệp (Industrial Automation and Control System - IACS) của Mỹ đã đề xuất nhiều thiết bị hàng rào bảo vệ giữa một mạng điều khiển nhà máy điện và các hệ thống mạng không an toàn (như mạng của nhà máy và mạng internet (NIST, 2011)). Báo cáo của Bộ An ninh nội địa Mỹ (US Department Homeland Security – DHS) đã thống kê các mối đe dọa đến hệ thống điều khiển mạng công nghiệp (Industrial Control System - ICS), sắp xếp theo mức độ nguy cơ giảm dần, cụ thể: phần mềm có chứa mã độc (38%), hệ thống chưa cập nhật các bản vá lỗi (29%), các kết nối mở (17%), các vi phạm quy định (9%), cuối cùng là lộ lọt thông tin, khai thác mở cửa hậu. Tương ứng với các mối nguy cơ trên, DHS cũng đề xuất 7 chiến lược để bảo vệ Cơ sở hạ tầng công nghiệp quan trọng. Theo thống kê năm 2014 - 2015, những chiến lược này giúp ngăn cản sự tấn công vào hệ thống lên đến mức 98%. Một trong số những chiến lược đó là:
1. Ứng dụng được xác nhận (Application Whitelisting): lên danh sách các ứng dụng được phép cài đặt.
2. Lập chính sách cấu hình chuẩn và lịch cập nhật bản vá đã được xác thực.
3. Giảm tối đa phạm vi cần bảo vệ, như cô lập hệ thống ICS, khóa các dịch vụ/cổng không sử dụng; sử dụng Data Diode để phân chia các vùng mạng chức năng; với các mạng cần truyền dữ liệu hai chiều, sử dụng riêng từng cổng cho từng đường truyền/nhận dữ liệu.
4. Xây dựng một môi trường được bảo vệ: hạn chế các đường dẫn trực tiếp giữa các máy chủ; phòng ngừa và ngăn chặn sự lây nhiễm.
5. Đảm bảo việc truy cập từ xa an toàn: Tìm và xóa bỏ các ứng dụng truy cập cửa hậu và modem; chỉ cho phép giám sát được thực hiện bởi thiết bị phần cứng Data Diode chứ không dựa vào phần mềm với thiết lập cấu hình “chỉ đọc”; cấp quyền kết nối theo từng phiên với thiết lập thời gian, không cấp quyền kết nối vĩnh viễn.
Từ các phương án trên, cho thấy có 2 hướng tiếp cận trong việc thực hiện việc đảm bảo an toàn hệ thống IACS.
Thứ nhất, chiến lược dựa trên việc xây dựng chính sách tường minh nhằm đảm bảo an toàn hệ thống như: thống nhất các ứng dụng an toàn cài đặt trên hệ thống; phối hợp với nhà cung cấp hệ điều hành/phần mềm để yêu cầu các bản vá chính thức từ nhà sản xuất; khóa các cổng/dịch vụ không sử dụng trên hệ thống, kiểm soát/giám sát truy cập thiết bị, hạn chế kết nối từ xa liên tục.
Thứ hai, DHS đề xuất một thiết bị bảo mật theo hướng công nghệ mới, mang tên Data Diode. Đây là thiết bị bảo mật truyền dữ liệu một chiều vật lý, cung cấp phương án triển khai đảm bảo các yếu tố chất lượng dịch vụ, bảo mật, có khả năng triển khai rộng rãi và đã được chứng minh là đáng tin cậy và có thể mở rộng trong nhiều cơ quan chính phủ.
Bài toán đặt ra là các hệ thống mạng công nghiệp với dữ liệu nhạy cảm và quan trọng, cần được cô lập, nhưng vẫn có phải có chính sách phân quyền truy cập với người dùng được ủy quyền, dễ dẫn đến nguy cơ bị tấn công mạng. Giải pháp tốt nhất là ứng dụng công nghệ tân tiến, thiết bị bảo mật Data Diode chỉ cho phép luồng thông tin truyền 1 chiều, là bất khả xâm phạm với tấn công mạng.
Trong thực tế, Data Diode được ứng dụng phổ biến nhất là trong các hệ thống IACS, các trung tâm dữ liệu của ngân hàng và các hệ thống quân sự. Giải pháp này được triển khai theo 2 mô hình chính, để bảo toàn các thuộc tính cơ bản của một hệ thống.
Hình 1. Mô hình hệ thống Hệ thống chỉ nhận dữ liệu - cấu hình bảo mật cao [1]
Hệ thống chỉ nhận dữ liệu - cấu hình bảo mật cao (Receive - Only - High-Confidentiality Configuration) bảo toàn tính bảo mật của hệ thống. Trong trạng thái cần được bảo vệ, hệ thống sẽ chỉ nhận dữ liệu từ các hệ thống khác, mà không hề có bất kỳ dữ liệu nào được truyền theo chiều ngược lại. Các cuộc tấn công hoặc khai thác lỗ hổng có thể được gửi tới mạng được bảo vệ. Tuy nhiên, không có bất cứ thông tin nào của mạng này có thể được gửi trả ra mạng bên ngoài.
Hệ thống chỉ phát - cấu hình tính khả dụng cao (Transmit - Only - High -Availability Configuration) bảo toàn tính khả dụng của hệ thống. Trong trạng thái cần được bảo vệ, hệ thống sẽ chỉ truyền dữ liệu tới các hệ thống khác, mà không tiếp nhận bất kì dữ liệu nào từ các hệ thống khác gửi tới.
(a)
(b)
Hình 2. Mô hình Hệ thống chỉ phát - cấu hình tính khả dụng cao [1, 2]
Vì đặc điểm này mà hệ thống chỉ phát - cấu hình khả dụng có khả năng: Hệ thống mạng được bảo vệ sẽ không thể bị dò quét từ xa, tấn công hoặc chiếm quyền điều khiển; có khả năng chống lại các cuộc tấn công từ chối dịch vụ.
(a)
(b)
Hình 3: Mô hình hệ thống bảo mật truyền dữ liệu sử dụng thiết bị truyền dữ liệu một chiều Data Diode.
So sánh Data Diode và tường lửa
Tường lửa là một công nghệ bảo mật phổ biến lớp biên. Tường lửa hoạt động linh hoạt dựa vào các tập luật (Forrest, 2012). Do dựa trên nền tảng phần mềm, các tường lửa dễ tồn tại các lỗ hổng bảo mật như: lỗi cấu hình và bị lây nhiễm các phần mềm độc hại backdoor dẫn đến các mạng có nhiều khả năng bị đe dọa (Kamara, 2001). Data Diode là công nghệ bảo mật lớp biên đã được chứng minh là loại bỏ được hoàn toàn các nhược điểm từ công nghệ tường lửa (Westmacott, 2003). Tuy nhiên, công nghệ này vẫn chưa được ứng dụng rộng rãi. Data Diode hoạt động theo một nguyên tắc duy nhất đó là dữ liệu sẽ chỉ truyền theo một hướng giữa các mạng.
Hình 4: Các mức độ bảo vệ an toàn hệ thống của một số thiết bị bảo mật
Công ty Fox-IT chuyên cung cấp các giải pháp công nghệ sáng tạo để ngăn chặn, xử lý và giảm thiểu các vấn đề liên quan đến các mối đe dọa trên không gian mạng nguy hiểm nhất cho chính phủ, quốc phòng, các cơ sở hạ tầng then chốt, ngân hàng, khách hàng thương mại trên toàn thế giới. Công ty này đã đưa ra 5 lý do cần biết về công nghệ bảo mật một chiều của Data Diode [3, 4].
Thứ nhất, Data Diode đảm bảo sự phân tách bảo mật của các mạng. Sự phân tách mạng là một trong những cách hiệu quả nhất để bảo vệ mạng. Phương pháp này gây khó khăn lớn tin tặc để tiếp cận với các thành phần của mạng. Thông qua cách này, việc truy cập tới các thông tin nhạy cảm hoặc các hệ thống then chốt có thể bị giới hạn một cách hiệu quả. Các phương pháp để phân tách mạng bao gồm cách ly về mặt vật lý, các bộ lọc luồng lưu lượng, tạo các VLAN, sử dụng proxy và được biết đến rộng rãi nhất là tường lửa. Tất cả các phương pháp này có thể là một phần của kiến trúc mạng bảo mật. Nhưng trong số các phương pháp trên, không có phương pháp nào có thể cung cấp sự chắc chắn một cách tuyệt đối rằng mạng không thể bị tấn công và dữ liệu sẽ chỉ truyền theo một chiều. Data Diode là giải pháp bảo mật duy nhất mà có thể đảm bảo rằng dữ diệu được truyền theo một chiều. Thiết bị Data Diode về vật lý là đơn giản và chỉ bao gồm các cổng cáp quang và kết nối nguồn. Đường truyền vật lý cho tín hiệu quang và các tín hiệu điện (tạo nên dữ liệu) chỉ cho phép để truyền theo một chiều. Data Diode không chứa bất kỳ phần mềm hay các cổng logic nào khác, do đó khả năng lỗi cấu hình hoặc bị tấn công là không thể xảy ra.
Thứ hai, Data Diode có chi phí thấp hơn và giảm độ phức tạp hơn so với tường lửa và các giải pháp phần mềm khác. Bên cạnh đó, Data Diode có chi phí duy trì thấp. Thiết bị Data Diode về mặt vật lý không cần phải được cập nhật. Cấu hình của Diode là đơn giản, không yêu cầu người có chuyên môn để duy trì. Việc sử dụng Data Diode sẽ giảm tính phức tạp của mạng. Không quan trọng việc tồn tại lỗi cấu hình, quản trị viên có thể chắc chắn một cách tuyệt đối rằng dữ liệu chỉ có thể truyền theo đúng một chiều.
Thứ ba, Data Diode cho phép truyền dữ liệu thời gian thực trong các môi trường bảo mật cao. Giải pháp phân tách mạng trong các môi trường có tính bảo mật cao (ví dụ các nhà máy điện hạt nhân hoặc các cơ quan cần tính bảo mật cao) đã triển khai từ lâu đó là cô lập mạng về mặt vật lý. Giải pháp này hiện không còn khả thi nữa. Hiện nay, lượng dữ liệu ngày càng gia tăng. Điều này yêu cầu cần có khả năng xử lý và phản ứng với dữ liệu nhanh nhất có thể. Từ những xu hướng này, không có khả năng để truyền dữ liệu từ mạng này sang mạng khác sử dụng CD hoặc USB. Hiện nay, các môi trường quan trọng này có thể truyền an toàn một lượng lớn dữ liệu trực tiếp ở tốc độ cao thông qua một Data Diode.
Thứ tư, Data Diode có khả năng ngăn chặn các thiệt hại về mặt vật lý. Trong các mạng công nghiệp, các hệ thống số được kết nối tới các xử lý vật lý. Đây cũng được gọi là các hệ thống mạng vật lý. Khi các hệ thống này được kết nối tới các mạng không bảo mật (mạng Internet), điều này sẽ tạo điều kiện cho tin tặc chiếm quyền điều khiển dẫn đến việc dò rỉ dữ liệu. Bằng cách sử dụng Data Diode, dữ liệu có thể được chia sẻ từ mạng công nghiệp tới mạng văn phòng mà không cần lo ngại vấn đề tin tặc sẽ xâm nhập vào hệ thống mạng vật lý.
Thứ năm, đề xuất các quy định nội bộ hoặc buộc phải thực hiện Data Diode. Một số quốc gia đã đề xuất hoặc thậm chí bắt buộc các tổ chức cụ thể (chủ yếu là các tổ chức trong chính phủ hoặc các ngành cơ sở hạ tầng quan trọng) để thực hiện Data Diode trong mạng của họ.
Trên đây là đôi nét về giải pháp Data Diode truyền dữ liệu một chiều an toàn và đánh giá sự khác biệt của Data Diode và thiết bị bảo mật tường lửa. Phần tiếp theo của bài báo giới thiệu về việc ứng dụng Data Diode trong quân đội một số nước và tại Việt Nam.
Tài liệu tham khảo [1]. Tactical Data Diodes in Industrial Automation and Control Systems, Austin Scott, SANS Institute, 2015. [2]. OPDS-1000 Product Sheet, <http://library.owlcyberdefense.com/opds-1000> [3]. https://www.fox-it.com/Data Diode/2018/03/13/the-one-way-security-of-a-data-diode-top-5-reasons-you-need-one-now/ [4]. Seven Steps to Effectively Defend Industrial Control System, Department of Homeland Security, <https://ics-cert.us-cert.gov/sites/default/files/documents/Seven%20Steps%20to%20Effectively%20Defend%20Industrial%20Control%20Systems_S508C.pdf> [5]. https://www.fibersystem.com/our-customers/ [6]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rugged/ [7]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-rack-module/ [8]. https://www.fibersystem.com/product-category/data-diodes/data-diodes-integrated/ |
Phạm Thị Huyền, Lưu Đức Anh (Viện 10, Bộ Tư Lệnh 86)
14:00 | 24/10/2019
06:00 | 28/10/2019
10:00 | 17/05/2022
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
13:00 | 09/10/2023
Field-programmable gate array (FPGA) là công nghệ vi mạch tích hợp khả trình có tính ưu việt và mức độ ứng dụng phổ biến nhất trong vòng vài chục năm trở lại đây. Ngoài khả năng tái cấu trúc vi mạch toàn cục, một số FPGA hiện đại còn hỗ trợ tái cấu trúc từng bộ phận riêng lẻ (partial configuration) trong khi vẫn đảm bảo hoạt động bình thường cho các bộ phận khác. Đây là chức năng cho phép ứng dụng có thể tái cấu trúc một phần thiết kế theo yêu cầu mà không cần phải ngừng hệ thống để lập trình lại toàn bộ. Bài viết sẽ giới thiệu một hệ thống tái cấu trúc từng phần được xây dựng trên board phát triển Z-turn Xynq-7020 của Xilinx, từ đó đề xuất một phương pháp tái cấu trúc từng phần trong bài toán an toàn thiết kế phần cứng trên nền công nghệ FPGA.
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024