U

Home » Cross Domain Solutions » Datadioder

Förhindra intrång och bibehåll nätverksintegritet med datadioder

SecuriCDS Data Diode förhindrar intrång och bibehåller nätverkets integritet samtidigt som den förhindrar informationsläckor och upprätthåller nätverkets konfidentialitet. Lösningen, med sin höga assurans, skyddar tillgångar för aktörer bland annat inom kritisk infrastruktur och försvarsindustrin.

Enkelriktat informationsutbyte mellan nätverk

SecuriCDS Data Diode möjliggör enkelriktat informationsutbyte mellan nätverk i realtid. Många nätverk kräver ett extra skydd mot manipulation och dataläckage på grund av att de innehåller säkerhetsklassad eller känslig information. De kan därför komma att isoleras av säkerhetsskäl. Det kan ändå uppstå tillfällen när information måste skickas till eller från sådana nätverk. I de här fallen kan en datadiod vara till stor nytta.

Modeller av SecuriCDS Data Diode

SecuriCDS DD1000i enkelriktad Security Gateway

DD1000i inkluderar integrerad serverhårdvara för proxy-tjänster och kan monteras i ett 19″ racksystem (höjd: 1HE). Den här modellen av datadiod underlättar integration mot befintliga dataflöde genom proxy-tjänster som hanterar olika typer av högnivåprotokoll. Proxy-tjänster designas, utvecklas och testats för att uppfylla krav och interagera med känsliga miljöer. 

Läs produktblad

SecuriCDS DD1000A enkelriktat dataflöde

DD1000A erbjuder hög prestanda i en liten förpackning vars mått uppgår till 216 x 167 x 44 mm. En eller två DD1000A kan monteras i ett 19″ rack genom att endast använda 1HE. DD1000A agerar på Ethernet lager 2 och stödjer enkelriktade protokoll som exempelvis UDP.

Läs produktblad

Datadiod DD1G enkelriktat dataflöde

DD1G-serien erbjuder högpresterande och säker dataöverföring för Ethernet lager 2. Serien inkluderar fristående enheter samt DIN-skena monterade enheter, allt i ett mycket kompakt format (130x20x150/163 mm). Genom att använda fristående proxytjänster kan datodioderna hantera vanliga kommunikationsprotokoll och översätta dem till enkelriktade dataflöden.

Läs produktblad

Data Diode Engine

Advenica Data Diode Engine är en fristående proxy-mjukvarulösning som möjliggör effektiv och säker dataöverföring genom alla Ethernet-baserade datadioder från Advenica. I kombination med färdiga mjukvarutjänster möjliggör den specifika nätverkssegmenteringslösningar för en mängd olika installationsmiljöer.

Läs produktblad

Key features

SecuriCDS Data Diode garanterar enkelriktad separation mellan nätverkens gränssnitt. Den består av optisk fiber med en sändare på ena sidan och en mottagare på andra, helt utan risk för tvåvägsöverföring.

Separation av nätverk

Det viktigaste med en datadiod är separationen mellan de två gränssnitten. I en SecuriCDS Data Diode baseras separationen och diod-funktionen på en optisk sändare och mottagare. Designen garanterar att ingen data kan passera i den motsatta riktningen. SecuriCDS Data Diode möjliggör även för användning av dubbla nätaggregat för att eliminera möjligheten till dolda kanaler i motsatt riktning.

Integrerade proxyservrar

I SecuriCDS Data Diode, modell DD1000i, ingår integrerade proxyservrar för att hantera vanliga kommunikationsprotokoll som tillexempel data, filer eller överföring av nätverkstid. Dioden hanterar protokoll på applikationsnivå och kan enkelt integreras i alla system.

Komponentassuransgodkännande, KSF nivå N3

SecuriCDS Data Diode, modell DD1000A och DD1000i, är godkända i Sverige för att överföra data mellan två säkerhetsdomäner med olika informationsklassningsnivå upp till HEMLIG/TOP SECRET. SecuriCDS DD1000i och DD1000A har ett komponentassuransgodkännande på nivå N3 enligt KSF v3.1, FM2021-25989:1 Beslut om krav på godkända säkerhetsfunktioner.

Datadioder med hög assurans

Advenicas datadioder uppfyller de högsta kraven både gällande säkerhet och assurans. Intern separation av funktioner, flerstegs enkelriktad säkerhet och djupgående säkerhetsanalys säkerställer tillit och hög assurans. Extra fokus har även lagts på att eliminera risken av dolda kanaler i motsatt riktning.

Datadioder skyddar nätverkets konfidentialitet

Skyddade eller hemliga nätverk har höga säkerhetskrav gällande konfidentialitet. Datadioder, med sin höga assurans, erbjuder det nödvändiga skyddet som innebär att det inte kan uppstå några informationsläckor. Användningsområdena varierar mellan att importera mjukvaruuppdateringar eller virusdefinitioner till att importera exempelvis OSINT-information eller sensordata till ett hemligt analysnätverk.

Return of Security Investment

Att använda en datadiod är ett mycket kostnadseffektivt sätt att skydda känslig information. Läs mer om vad the Return of Security Investment (ROSI) kan vara för en datadiod!

Skyddar ICS-system

ICS-system som kopplas till andra nätverk är ett stort säkerhetshot och säkerhetsåtgärder behöver vidtas för att hindra intrång och för att bibehålla nätverkets integritet. SecuriCDS Data Diode erbjuder det säkraste alternativet genom att information endast kan skickas från ICS-nätverket till exempelvis organisationers IT-nätverk. Detta minimerar cybersäkerhetsriskerna effektivt samtidigt som det möjliggör informationsöverföring.

Optisk hårdvaruseparation

SecuriCDS Data Diodes är nätverksenheter för envägskommunikation som sammankopplar två säkerhetsdomäner eller nätverk av samma eller olika säkerhetsnivåer. Datadioderna har en optisk hårdvaruseparation för att säkerställa en enkelriktad separation mellan de två nätverken.

”Advenica har verkligen lyckats ta hand om klurigheterna kring att få till en diod som fungerar i praktiken. Både systemet och dess dokumentation är föredömligt tydliga och enkla att förstå. Det hår är en teknik jag tror allt fler av mina kunder kommer anamma framöver ” – Mats Karlsson Landré, OT-säkerhetsexpert, om Advenicas datadiod DD1000i.

”En nätverksdiod DD1G från Advenica som kan vara lösningen på ett klurigt problem när man segmenterat sitt nätverk. Ofta vill man exempelvis använda gemensamma säkerhetslösningar för IT- och OT-världen, men hur vet man att den utrustning som skickar nätverkstrafik för analys är säker och inte är en bakväg från IT till OT? En möjlighet är att skicka den kopierade nätverkstrafiken via en diod för att vara säker på att nätverkspaketet verkligen bara kan ta sig åt ena hållet. Superenkelt att få till dessutom, saknar helt konfiguration. Gigabit-sladd in och gigabit-sladd ut, det är allt!” – Mats Karlsson Landré, OT-säkerhetsexpert om Advenicas datadiod DD1G.

Läs även vårt kundcase om Wiener Netze som skyddar Wiens infrastruktur med hjälp av datadioder från Advenica!

Rekommendationer

Flera olika organisationer rekommenderar användningen av datadioder för en säker kommunikation.

Svenskt Vatten, ”Digitalisering av den svenska VA-branschen” (2021): ”Datadioder och dataslussar kan vara enklare att konfigurera och underhålla, vilket brukar leda till bättre säkerhet.”

Statens Energimyndighet, ”Vägledning till Statens energimyndighets föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssystem inom energisektorn” (2022): ”Det rekommenderade tillvägagångssättet för att överföra information från ett OT-nät till ett IT-nät är envägskommunikation med hjälp av så kallade datadioder.”

Livsmedelsverket, ”Vägledning till livsmedelsverkets föreskrifter” (2023): ”Säkerställ att all kommunikation med andra nätverk och informationssystem regleras via en brandvägg, datadiod, proxy eller motsvarande nätverkskomponent.”

MSB, ”Ökad säkerhet i industriella informations- och styrsystem” (2021): ”För vissa typer av it-miljöer kan det vara bra att använda datadioder och dataslussar.”

SÄPO, ”Vägledning informationssäkerhet” (2020): ”Envägskommunikation realiseras med stöd av en hårdvarukomponent, så kallad datadiod, som enbart tillåter kommunikation i en riktning och därmed gör det omöjligt att information överförs i motsatt riktning.”

Läs mer om dessa rekommendationer.

Några säkerhetsutmaningar där datadioder är en bra lösning

Spårbarhet och loggning i säkerhetskänslig verksamhet

Centraliserad logginsamling i säkerhetskänsliga system medför ökad risk för attacker. För att minska riskerna krävs en lösning som skyddar både logginformation och alla anslutna system. Läs mer om spårbarhet och loggning i säkerhetskänslig verksamhet.

Säker överföring av SCADA-information

Att överföra samhällskritisk information, tex från ett SCADA-system till ett administrativt kontorsnät innebär potentiella säkerhetsrisker. Men det finns lösningar som tar hand om säkerhetsproblematiken och samtidigt möjliggör ett informationsutbyte. Läs mer om säker överföring av SCADA-information.

Säkra uppdateringar

Uppdateringar av Windows- och Linux-system är en viktig del i att kunna upprätthålla säkerheten för den digitala information som finns i dessa system. Uppdateringen kan dock innebära en säkerhetsrisk och för att undvika det samt för att upprätthålla integriteten och tillgängligheten i systemen och kunna göra säkra uppdateringar, krävs speciella lösningar. Läs mer om säkra uppdateringar.

Datadioder

Här är några vanliga frågor om våra datadioder!

Datadioder är dyra, eller hur?

Ordet "dyrt" är ett relativt begrepp om en datadiod endast ses som en kostnad. Egentligen är en datadiod en investering som kan vara billigare i längden än om man väljer att inte köpa den. Allt handlar om alternativkostnaden och riskaptit om man inte har tillräcklig säkerhet. Om behovet är rätt för en datadiod är det inte bara säkrare utan också lägre i TCO jämfört med alternativa teknologier, eftersom en datadiod kräver mindre i underhåll, administration och support. Läs mer om det här!

Hur beräknar vi ROSI?

Att beräkna ROSI (Return on Security Investment) handlar om att beräkna vad bristen på säkerhet kan kosta och vad de mest kostnadseffektiva lösningarna är – detta för att kunna veta vad du ska lägga på säkerhet. Läs mer om hur du gör här!

Hur mycket kostar det?

Vi erbjuder ett urval av datadioder med olika förmåner och villkor. Priset börjar på cirka 3000 € CAPEX men beror på vilken produkt du köper och hur komplex lösningen du behöver är. Basprodukterna kommer inte med något behov av MSA (Maintenance and Support Agreement).

Vilka är alternativen?

För enkelriktat datakommunikationsflöde är en datadiod det säkraste alternativet. Men om du behöver datakommunikation i två riktningar finns det andra lösningar du kan välja – till exempel en Security Gateway. (Vid vissa tillfällen kan en nätverksdesign med dubbla datadioder i olika riktningar vara en lösning.) En Security Gateway vidarebefordrar endast mottagen information när den följer en viss policy som härrör från din organisations informationssäkerhetspolicy. Läs mer om Security Gateways!

Vad är skillnaden mellan en konfigurerad brandvägg och en datadiod?

En datadiod innehåller speciell hårdvara konstruerad på ett sådant sätt att det inte finns några kända fysikaliska metoder eller egenskaper som kan användas för att överföra information i backriktningen, dvs åt fel håll genom datadioden. En brandvägg som konfigurerats för enkelriktad trafik säkerställer detta med mjukvara som kan innehålla bakdörrar, buggar och sårbarheter som kan utnyttjas. Det är även svårt att garantera konfigurationens korrekthet under hela tiden brandväggen är i drift. Dessutom finns det exempel på brandväggar som trots att de konfigurerats för enkelriktad trafik ändå tillåtit viss datatrafik i fel riktning.

Kan en datadiod fungera åt båda hållen?

Det beror på hur frågan är menad. En datadiod kan inte fungera åt båda hållen eftersom en datadiod garanterar enkelriktad separation mellan nätverksgränssnitt. Den innehåller optisk fiber med en sändare på ena sidan och en mottagare på andra sidan, utan chans till tvåvägsöverföring. Men du kan givetvis göra en säker kommunikationsdesign som går åt båda håll med en datadiod i vardera riktning. Ett annat alternativ när du behöver en säker tvåvägskommunikation är att använda Security Gateways, t.ex. Advenicas ZoneGuard. ZoneGuard, möjliggör ett strikt kontrollerat tvåvägsfiltrerat informationsflöde som stödjer tredjepartskontroller för att upprätthålla en digitalt signerad informationspolicy. Läs mer om ZoneGuard.

Är era datadioder godkända enligt Common Criteria?

Advenicas lösningar har tilldelats flera prestigefyllda godkännanden av EU, nationella certifieringsorgan och internationella certifieringsorgan för IT-säkerhet. I skrivande stund är inte våra datadioder certifierade enligt Common Criteria, men de finns med godkännande på assuransnivå 3 (N3) enligt Krav på IT-säkerhetsförmågor hos IT-system (KSF) från Försvarsmakten. Det gör att man kan använda Advenicas godkända datadioder för att låta säkra nätverk ta emot data från öppna eller lägre klassade nätverk. Det är viktigt att påpeka att ett godkännande enligt Common Criteria inte innebär en garanti för att inga sårbarheter kan upptäckas. De flesta, för att inte säga alla, produkter med certifieringar behöver uppdateras då sårbarheter identifieras. Kärnan i en datadiod från Advenica bygger på fysisk separation och är oförändrat säker utan uppdateringar. Läs mer om våra certifieringar.

Kontrollerar ni all er produktion, inklusive alla komponenter?

Advenica erbjuder lösningar för cybersäkerhet som uppfyller de högsta säkerhetskraven. Vår produktutveckling skiljer sig på många sätt från traditionell utveckling då våra kunder kräver att vi visar att våra lösningar erbjuder säkerhet med hög assurans. Detta kan bara uppnås om allt arbete är möjligt att granska och utvärdera. Vi utvecklar och tillverkar därför de vitala delarna av våra lösningar internt för att säkerställa högsta säkerhetsnivå (hög assurans). Vi säkerställer IT-säkerhet, skydd av utvecklings- och produktionsmiljöer, perimetersäkerhet i lokalerna och tillgången till en pålitlig, säkerhetsgodkänd och säkerhetsmedveten arbetsstyrka. Vi konstruerar produkterna så att så få komponenter som möjligt är vitala ur ett säkerhetsperspektiv och att dessa delar kan monteras och levereras under egen kontroll. Vi utför själva konfiguration och slutkontroll i våra lokaler med egen personal och under strikt bevakning. Läs mer om vår högsäkerhetsproduktutveckling i vårt White paper.

Vad är leveranstiden?

Vi har generellt mycket korta leveranstider och kan vanligtvis leverera dina produkter inom en vecka. Tiden från det att produkterna levereras tills de fungerar är också mycket kort, förutsatt att övrig berörd infrastruktur är på plats.

Vad är skillnaden mellan de olika datadioderna?

Alla våra datadioder har hög prestanda och tillhandahåller fysisk separation i backriktningen. DD1000i inkluderar integrerad serverhårdvara och mjukvara för proxyservrar. Den kan lösa hanteringen av dubbelriktade kommunikationsprotokoll och finns i en militärt godkänd version. DD1000A erbjuder i ett litet format, som endast mäter 216 x 167 x 44 mm, militärt godkänd hög assurans. DD1G-serien erbjuder säker dataöverföring i ett mycket kompakt format (130x20x150/163 mm) och levereras som antingen DIN-monterbar eller fristående. Läs mer om de olika modellerna och vilket protokoll de stödjer.

Finns det några krav på användning av datadioder?

Flera stora organisationer rekommenderar användningen av datadioder för en säker kommunikation. Några exempel är SÄPO, MSB, Svenskt Vatten och Statens Energimyndighet. Läs mer om certifieringar och rekommendationer.

Godkännanden

Våra datadioder har nationella godkännanden i flera länder. Vänligen vänd dig till din försäljningsrepresentant från Advenica för specifik landinformation.

EU:s certifierings-/godkännande system gäller inte för icke-kryptografiska produkter. Advenicas Data Dioder har certifierats i tre EU-medlemsstater för användning upp till nationell säkerhetsklass HEMLIG. Vanligtvis för kryptografiska produkter kräver EU två medlemsstaters åsikt innan de lämnar ett godkännande. Om EU:s certifierings-/godkännandeprogram hade inkluderat icke-kryptografiska produkter skulle Advenicas datodioder ha blivit godkända för användning till och med säkerhetsklass EU SECRET.

Certifieringar och godkännanden

Advenicas lösningar har erhållit flera prestigefyllda godkännanden av EU, nationella certifieringsorgan och internationella certifieringsorgan för IT-säkerhet. Vi har också beviljats amerikanskt patent för vår VPN-teknologi, Three Domain Separation.

Warranty

Advenica garanterar att denna produkt kommer att vara fri från defekter i material och utförande under ett (1) år från inköpsdatum.