U

Start » Learning Centre » Know-how » Vad är en Cross Domain Solution?

Vad är en Cross Domain Solution?

Cross Domain Solutions möjliggör strikt kontrollerat och filtrerat informationsutbyte mellan domäner med olika säkerhets- eller skyddsbehov. Men det finns olika typer av Cross Domain Solutions - enkelriktade och dubbelriktade. I denna know-how klargör vi skillnaderna och funktionaliteterna hos lösningarna.

Cross Domain Solutions möjliggör strikt kontrollerat och filtrerat informationsutbyte mellan domäner med olika säkerhets- eller skyddsbehov, till exempel databaser, servrar, applikationer eller kombinationer därav. Men det finns olika typer av Cross Domain Solutions – enkelriktade och dubbelriktade. I detta kunnande klargör vi skillnaderna och funktionaliteten hos lösningarna.

Vad är en Cross Domain Solution ?

Cross Domain Solutions (CDS) är en term som används för att beskriva hur man bibehåller ett säkert informationsutbyte mellan domäner med olika säkerhets- och skyddsbehov. Detta kan ske mellan databaser, servrar, applikationer eller en kombination av dessa. CDS belyser värdet av att kunna kommunicera, att dela eller flytta information mellan domäner och samtidigt tillämpa validering, transformering och filtrering under utbytet.

Syftet är att tillämpa strikt informationsöverföring på informationsnivå, medan säkerhet med hög assurans tar itu med cybersäkerhetshot som manipulation, dataläckage och intrång.

 

Hur fungerar en Cross Domain Solution?

Cross Domain Solutions inkluderar tre typer av principer för informationsutbyte:

  • Dubbelriktat för att uppfylla domänhandslag och skräddarsytt informationsutbyte.
  • Enkelriktat för att säkerställa integritet eller konfidentialitet för domäner.
  • Airgap mellan system med manuell överföring och kontroll av informationen.

Dubbelriktat informationsutbyte

Dubbelriktade gateways möjliggör ett strikt kontrollerat dubbelriktat och filtrerat informationsflöde som stödjer tredjepartskontroller för att upprätthålla en digitalt signerad informationspolicy. Den använder filter i båda riktningarna och informationen kontrolleras alltid med hjälp av fullständig meddelandeinspektion. Filtret kan låta information passera beroende på flera faktorer t.ex. käll-/destinationsadresser, filformat, attribut eller förekomsten av en digital signatur.

Enkelriktat informationsutbyte

En lösning som kan användas för enkelriktat informationsutbyte är att använda en datadiod.Att garantera ett enkelriktat informationsflöde innebär att känslig information kan överföras utan att äventyra nätverkets integritet eller konfidentialitet, beroende på hur datadioden används. En annan fördel ligger i tekniken för en datadiod. Att den är hårdvarubaserad och inte mjukvarubaserad betyder att den inte kan attackeras av skadlig kod och heller inte konfigureras fel. Intrång förhindras därmed. En datadiod låter dig överföra data utan att äventyra nätverkets säkerhet.

 

Cross Domain-lösning

Datadioder

Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. En datadiod är en säkerhetsprodukt som placeras mellan två nätverk och som fungerar som en backventil vars funktion endast tillåter att data skickas i ena riktningen medan den blockerar all data i motsatt riktning. Då datadiodens säkerhetsegenskaper bygger på hårdvara och optisk fiber kan man visa att det är fysiskt omöjligt för data att transporteras i motsatt riktning. Hårdvarubaserad säkerhet innebär att man kan visa att datadioder har hög assurans.

En datadiod skyddar tack vare sin höga assurans tillgångar hos aktörer verksamma inom kritisk infrastruktur, ICS/SCADA och försvarsindustrin. Digitaliseringen och ökningen av sofistikerade cyberattacker gör att varje organisation som arbetar med känslig information användning av en datadiod för att kunna skydda sin värdefulla information och för att kunna utbyta data på ett säkert sätt.

För att kunna kommunicera med dubbelriktade protokoll behövs proxy-tjänster. Proxy-tjänsterna konverterar dubbelriktade protokoll till enkelriktade protokoll och på så sätt kan de skickas via datadioden. Genom att använda en proxy-tjänst kan Advenicas datadiod hantera de vanligaste kommunikationsprotokollen. Dessa tjänster översätter protokollen till enkelriktade protokoll och erbjuder datakommunikation med den ogenomträngliga säkerheten hos den enkelriktade hårdvaran.

 

Styrkor med en datadiod

Det finns flera styrkor med datadioder:

  • Deras förmåga att säkerställa säkerhet i osäkra system och att skydda och bevara äldre system. Genom att använda datadioder kan äldre system skyddas utan att hela det operativa systemet måste ses över.
  • Dess hårdvaruaspekt. Det finns ingen risk för användarfel eller buggar eftersom det varken finns någon mjukvara eller konfiguration som kan innehålla buggar eller manipuleras.
  • De långsiktiga driftskostnaderna är låga. Efter initial investering av inköp och systemintegration gör besparingarna i underhålls- och administrationskostnader datadioden till en effektiv nätverkssäkerhetslösning på lång sikt.
  • Hur de minskar cybersäkerhetsrisken. Diodens strikta egenskaper gör att man helt kan utesluta vissa typer av risker om man använder en datadiod. Du vet till exempel att nätverket inte kan läcka information och kan därmed fokusera på att endast hantera risker med integritet och skadlig programvara.

Läs mer om Advenicas datadioder!

 

Use Case där datadioder kan användas

Här några olika use case där vara datadioder kan användas för att höja säkerheten:

  • importera och exportera filer mellan olika zoner
  • koppla ett integritetskänsligt OT-system till andra system
  • centraliserad logginsamling i säkerhetskänsliga system
  • överföra samhällskritisk information, tex från ett SCADA-system till ett administrativt kontorsnät
  • uppdateringar av Windows- och Linux-system

Läs mer om de olika Use Casen.

 

Datadioder

Security gateways

En dubbelriktad Security Gateway kan jämföras med en brandvägg eftersom den reglerar vilken trafik som kan komma in och ut ur ett nätverk. En brandvägg är en enhet med syftet att skydda ditt nätverk genom att blockera viss trafik att komma in eller ut. Den övervakar och bestämmer vilka protokoll som är tillåtna och vilka som blockeras baserat på dess konfiguration.

Med en brandvägg är det svårt att veta exakt vilken information som exporteras eller importeras i protokollen in till systemet. Organisationer som har känslig information och som verkar inom kritisk infrastruktur, myndigheter eller försvaret, är i behov av att deras nätverk håller en högre säkerhetsnivå. Därför behövs fler lösningar än en brandvägg,såsom en Security Gateway med hög assurans.

En dubbelriktad Security Gateway vidarebefordrar endast mottagen information när den följer dess policy som härleds till organisationens informationssäkerhetspolicy. Den policy som implementeras i en Security Gateway definierar accepterade informationsstrukturer, format, typer, värden och till och med digitala signaturer. När ett meddelande skickas från en säkerhetsdomän till en annan över en Security Gateway analyseras informationen i meddelandet enligt den definierade policyn. Godkända delar av det mottagna meddelandet sätts in i ett nytt meddelande som skickas till den avsedda mottagaren i den andra domänen. På så sätt vet du att endast tillåten information passerar denna gräns.

 

Vad är skillnaden mellan en Security Gateway och en brandvägg?

En dubbelriktad Security Gateway kan jämföras med en brandvägg eftersom den reglerar vilken trafik som kan komma in och ut ur ett nätverk. En jämförelse för att förklara skillnaden mellan en Security Gateway och en brandvägg är att visualisera en flygplats. Brandväggen skulle vara incheckningsdisken där en enkel kontroll utförs, till exempel identitets- och biljettkontroll. En Security Gateway skulle vara säkerhetskontrollen där du granskas mer, dina väskor tittas igenom, du går igenom en kroppsvisitation och så vidare.

En brandvägg är en enhet med syftet att skydda ditt nätverk genom att blockera viss trafik att komma in eller ut. Den övervakar och bestämmer vilka protokoll som är tillåtna och vilka som blockeras baserat på dess konfiguration.

För vissa typer av verksamheter räcker det helt enkelt inte med en brandvägg.

Med en brandvägg är det svårt att veta exakt vilken information som exporteras eller importeras i protokollen in till systemet. En brandväggskonfiguration blir ofta komplex, vilket ökar risken för felkonfiguration. Brandväggar separerar inte heller administration och dataflöde på ett sätt som skyddar informationen från insiders. Organisationer som har känslig information och som verkar inom kritisk infrastruktur, myndigheter eller försvaret, är i behov av att deras nätverk håller en högre säkerhetsnivå. Därför behövs ytterligare lösningar än en brandvägg.

Vill du veta mer om när du behöver starkare skydd än en brandvägg? Läs vårt White Paper!

Vill du veta mer om vilka produkter och lösningar som vi kan erbjuda? Läs mer här!

Läs mer om våra datadioder och  mer om vår ZoneGuard!

New call-to-action


paper-cover_Varför-välja-en-datadiod
 
 

Ladda ned guide

Relaterade artiklar