Säkra ditt informationsutbyte med ZoneGuard
ZoneGuard är en anpassningsbar och samtidigt enkel lösning som bygger på allowlisting av information genom informationspolicys. Lösningen säkerställer att organisationer på ett säkert och korrekt sätt kan utbyta information mellan säkerhetsdomäner på olika nivåer.
ZoneGuard – säker överföring av korrekt och validerad information
Idag är information en av organisationers största tillgångar, därför är ZoneGuards främsta fokus informationssäkerhet snarare än nätverkssäkerhet. Genom att överföra korrekt och validerad information med hjälp av en allowlisting-approach skapas det automatiskt nätverkssäkerhet mellan de olika nätverken.
ZoneGuard skickar endast vidare mottagen information om den överensstämmer med organisationens informationspolicy. Den implementerade informationspolicyn i ZoneGuard definierar godkända strukturer, format, värden och även digitala signaturer samt hur informationen måste följa policyn.
Advenica ZoneGuard PE250
ZoneGuard PE250 möjliggör ett strikt kontrollerat och filtrerat informationsutbyte mellan olika nätverk och säkerhetsdomäner. Med informationen i fokus säkerställer ZoneGuard att en organisations informationspolicy följs vid varje överföring, samtidigt som det skapas en logg för spårning av informationsutbytet.
ZoneGuard-teknologi
Många av dagens befintliga system och lösningar är känsliga för protokoll- eller implementeringsfel. Det kan röra sig om brister i en implementation av ett nätverksprotokoll eller applikationer som inte genomgått tillräckliga tester för validering av inkommande data. ZoneGuards förmåga att säkerställa vilken information som överförs mellan olika system skapar en gedigen kontroll och tillförlitlighet genom hela det kritiska informationsflödet.
Key features
ZoneGuard möjliggör ett strikt kontrollerat och filtrerat informationsutbyte mellan olika nätverk och säkerhetsdomäner. Med informationen i fokus säkerställer ZoneGuard att en organisations informationspolicy följs vid varje överföring, samtidigt som det skapas en logg för spårning av informationsutbytet.
ZoneGuard-teknologi
Många av dagens befintliga system och lösningar är känsliga för protokoll- eller implementeringsfel. Det kan röra sig om brister i en implementation av ett nätverksprotokoll eller applikationer som inte genomgått tillräckliga tester för validering av inkommande data. ZoneGuards förmåga att säkerställa vilken information som överförs mellan olika system skapar en gedigen kontroll och tillförlitlighet genom hela det kritiska informationsflödet.
Protokollavbrott och fullständig meddelandeinspektion
ZoneGuard erbjuder protokollavbrott och fullständig meddelandeinspektion för att förhindra möjliga attacker mot det mottagande systemet. Genom att terminera nätverksprotokollet och endast skicka vidare informationen kan både attacker på nätverkslager och applikationslager förhindras.
Informationscentrisk design
Informationsutbytet är centralt i ZoneGuard, nätverksprotokollet är endast ett medel för att skicka information på nätverket. Lösningen säkerställer att organisationer på ett säkert och kontrollerat sätt kan utbyta information mellan olika säkerhetsdomäner. ZoneGuards informationscentriska design och policyinförande struktur skapar tillväxt, minskar kostnader och främjar både intern och industrimässig kompatibilitet.
Kontrollerat informationsutbyte
Validering och filtrering av information i enlighet med en organisations informationspolicy säkerställer att den information som mottas har blivit godkänd. Filtreringen kan förändras för att skapa en specialanpassad validering av informationsflödet.
ZoneGuard Appliances
UDP/TCP Application
UDP/TCP Application tillhandahåller sätt att överföra data, med ospecificerad typ och struktur, mellan åtskilda säkerhetsdomäner på ett kontrollerbart sätt. Programmet, som stödjer enkelriktad trafik från server till klient, kan konfigureras för att endast stödja UDP, endast TCP eller båda.
Syslog Application
Syslog Application tillhandahåller sätt att vidarebefordra Syslog-meddelanden över UCP- eller TCP-protokollet mellan åtskilda säkerhetsdomäner på ett kontrollerbart sätt. Applikationen är kompatibel med Syslog-standarderna RFC3164 och RFC5424 och består av en server och en klient. Servern lyssnar efter Syslog-meddelanden och normalisera dem till en struktur som följer RFC5424-standarden.
Email Application
Ett mångsidigt och kraftfullt verktyg som gör det möjligt att skicka e-mail över nätverksgränser samtidigt som det verkställer befintliga policys. Valideringen bygger på fördefinierad information om vilket innehåll som tillåts i meddelanden så som adressater, texter och även bifogade filer. Den inbyggda informationscentriska innehålls-inspektionen säkerställer att endast godkända meddelande får passera och nekar alla andra.
File Transfer Application
I ICS/SCADA-system är det nödvändigt att kunna skicka rapporter och tillåta inkommande uppdateringar av styrsystem samtidigt som systemets integritet måste bevaras. Försvarsorganisationer behöver behålla klassad information inom säkerhetsdomänen samtidigt som de behöver kunna överföra information till andra system eller säkerhetsdomäner. File Transfer Application säkerställer båda scenarion, den skyddar integritet och konfidentialitet genom att allowlista informationsutbyten och skapar explicit kontroll över vilka filer som skickas till och från ett system.
Integration Application
Marknads- och effektivitetskrav innebär att ICS-system, företagsnätverk och legacy system interagerar i större utsträckning med varandra, internet eller andra miljöer utan att det finns kunskap om potentiella risker. Integration Application skyddar interaktionen och verkställer organisationens informationspolicy dygnet runt och möjliggör digitalisering, utan att kompromissa på säkerheten.
Varför behöver man en ZoneGuard?
Det finns många befintliga system och lösningar som är känsliga för protokoll- eller implementeringsfel. Det kan röra sig om brister i en implementation av ett nätverksprotokoll eller applikationer som inte genomgått tillräckliga tester för validering av inkommande data. En ZoneGuard förhindrar dessa genom att erbjuda:
- Protokollavbrott för att förhindra möjliga attacker genom att ta bort attacker på nätverksnivå.
- Transformation av nätverksprotokoll och informationsinnehåll från ett format till ett annat som förhindrar skadliga program och minskar attacker på applikationsnivå.
- Validering och filtrering av information i enlighet med en organisations informationspolicy vilket säkerställer att endast information som har godkänts överförs.
Läs mer om när du behöver mer än en brandvägg här.
Förstärker organisatorisk IT-policy för systemintegration
ZoneGuard är skapad utifrån två förutsättningar, ansvarsfördelning och policyinförande. För att kunna ändra informationspolicyn i en ZoneGuard krävs det en digital signatur. Nyckeln till att signera informationspolicyn finns exempelvis hos en IT-säkerhetsavdelning eller någon annan inom organisation med tilldelat ansvar att godkänna policys. Utan nycklarna går det inte att genomföra några förändringar. På så sätt kan den övergripande kontrollen av informationsvalidering placeras hos en utsedd person eller avdelning, snarare än hos den operativa IT-avdelningen eller dess användare.
ZoneGuard skapar även kontrollerad loggning med spårning av informationsutbytet. Den kan konfigureras till att logga samtlig information som passerar domängränsen, vilket är nödvändigt hos organisationer som behöver kunna bevisa att policys och regelverk följs.
Hur fungerar en ZoneGuard?
Advenicas Security Gateway, ZoneGuard, tillåter ett strikt kontrollerat tvåvägs-filtrerat informationsflöde som stödjer tredjeparts-kontroll för att införa en digitalt signerad informationspolicy. ZoneGuard använder filter i båda riktningar och informationen kontrolleras alltid med hjälp av fullständig meddelandeinspektion. Filtret kan tillåta information att passerade beroende på flera faktorer, exempelvis källa/destinationsadresser, filformat, attribut eller om det finns en digital signatur.
Läs mer om Security Gateways och hur de fungerar!
Hur ser ZoneGuards process ut?
När ett meddelande skickas från ett system till ett annat, där båda systemen är uppkopplade till en ZoneGuard, analyseras information i det meddelande som tas emot från ena systemet utifrån konfigurerade regler. Godkända delar av det mottagna meddelande sätts samman till ett nytt meddelande vilket sedan skickas till den avsedda mottagaren i det andra systemet.
- Data skickas till en av ZoneGuards DATA-portar.
- Datapaketen samlas in.
- Hela meddelandet återskapas.
- Meddelandet delas upp utefter specifikation i den laddade tjänsten.
- Innehållet struktureras för att passa det laddade schemat.
- Schema In accepterar endast det innehåll som är korrekt strukturerat.
- Fördefinierade filter kontrollerar innehållet.
- Schema Ut accepterar endast det innehåll som är korrekt strukturerat.
- Hela meddelandet återskapas.
- Meddelandet delas upp i datapaket.
- Datapaketen skickas till den avsedda mottagaren.
Några säkerhetsutmaningar där ZoneGuard är en bra lösning
Säker fjärråtkomst
Många organisationer är beroende av fjärråtkomst via RDP, till exempel för att leverantörer skall kunna utföra underhåll, eller att driftpersonal skall kunna övervaka en anläggning. Säker fjärråtkomst löser många av de säkerhetsrisker som annars är förknippade med sådana lösningar. Läs mer om säker fjärråtkomst.
Säker IT/OT-integration
Digitaliseringen innebär att IT- och OT-system behöver kopplas samman. Denna integration är en utmaning ur säkerhetssynvinkel och kräver speciella lösningar. Läs mer om säker IT/OT integration.
Säker överföring av SCADA-information
Att överföra samhällskritisk information, tex från ett SCADA-system till ett administrativt kontorsnät innebär potentiella säkerhetsrisker. Men det finns lösningar som tar hand om säkerhetsproblematiken och samtidigt möjliggör ett informationsutbyte. Läs mer om säker överföring av SCADA information.
Security Gateways
Här är några vanliga frågor om våra security gateways!
Vad är en Security Gateway?
En Security Gateway, även ibland kallad Data Guard eller Information Exchange Gateway, är en enhet som styr informationsutbytet som äger rum mellan olika säkerhetsdomäner. Advenicas Security Gateway heter ZoneGuard. Läs mer om Security Gateways!
Vad är skillnaden mellan en Security Gateway och en brandvägg?
En dubbelriktad Security Gateway kan jämföras med en brandvägg eftersom den reglerar vilken trafik som kan komma in och ut ur ett nätverk. En jämförelse för att förklara skillnaden mellan en Security Gateway och en brandvägg är att visualisera en flygplats. Brandväggen skulle vara incheckningsdisken där en enkel kontroll utförs, till exempel identitets- och biljettkontroll. En Security Gateway skulle vara säkerhetskontrollen där du granskas mer, dina väskor tittas igenom, du går igenom en kroppsvisitation och så vidare. Ett annat sätt att beskriva det är att en brandvägg fokuserar på trafiken mellan två domäner medan en Security Gateway fokuserar på själva informationen som ska passera.
Vad är skillnaden mellan en Security Gateway och en datadiod?
En datadiod är det tydligaste och enklaste alternativet med hög säkerhet om du har behov av enkelriktat informationsflöde medan en Security Gateway kan hantera datakommunikation i två riktningar på ett säkert sätt. En annan skillnad är att en datadiod hanterar trafik medan en Security Gateway hanterar informationsflöden. Läs mer om datadioder!
Vad är skillnaden på en Security Gateway och en proxy-lösning?
Vår Security Gateway, ZoneGuard, har en unik intern segmenteringsfunktion som flyttar informationen mellan segmenten på ett kontrollerat sätt. En proxylösning sitter mellan en eller flera klienter och en eller flera servrar där den presenterar sig mot klienterna som att den vore servern och tvärtom. Denna funktion gör att du kan bestämma vilken server som ska få trafiken och även skydda servrarna mot olika typer av attacker. En Security Gateway är mer fokuserad på informationsinnehållet och informationskontroll.
Security Gateways är dyra, eller hur?
Ordet "dyrt" är ett relativt begrepp om en Security Gateway endast ses som en kostnad. Egentligen är en Security Gateway en investering som kan vara billigare i längden än om man väljer att inte köpa den. Allt handlar om alternativkostnaden och riskaptit om man inte har tillräcklig säkerhet.
Hur beräknar man ROSI (Return on Security Investment)?
Att beräkna ROSI handlar om att beräkna vad bristen på säkerhet kan kosta och vad de mest kostnadseffektiva lösningarna är – detta för att kunna veta vad du ska lägga på säkerhet. Läs mer om hur du gör (i en artikel om en annan säkerhetsprodukt) här!
Vad är leveranstiden?
Vi har generellt mycket korta leveranstider och kan vanligtvis leverera dina produkter inom en vecka.
Vad är alternativen?
Behöver du datakommunikation i två riktningar är en Security Gateway en säker lösning då en Security Gateway vidarebefordrar endast mottagen information när den följer en viss policy som härrör från din organisations informationssäkerhetspolicy. Har du däremot behov av ett enkelriktat datakommunikationsflöde är en datadiod det säkraste alternativet. En datadiod garanterar enkelriktad separation mellan nätverkens gränssnitt. Den består av optisk fiber med en sändare på ena sidan och en mottagare på andra, helt utan risk för tvåvägsöverföring. Läs mer om datadioder!
Kontrollerar ni er produktion, inklusive alla komponenter?
Advenica erbjuder lösningar för cybersäkerhet som uppfyller de högsta säkerhetskraven. Vår produktutveckling skiljer sig på många sätt från traditionell utveckling då våra kunder kräver att vi visar att våra lösningar erbjuder säkerhet med hög assurans. Detta kan bara uppnås om allt arbete är möjligt att granska och utvärdera. Vi utvecklar och tillverkar därför de vitala delarna av våra lösningar internt för att säkerställa högsta säkerhetsnivå (hög assurans). För vår Security Gateway innebär detta att vi använder oss av en hårdvara som vi har kontrollerat och vad gäller mjukvara så kontrollerar och verifierar vi den så att vi kan ta fullt ansvar för den under hela dess livscykel. Vi säkerställer IT-säkerhet, skydd av utvecklings- och produktionsmiljöer, perimetersäkerhet i lokalerna och tillgången till en pålitlig, säkerhetsgodkänd och säkerhetsmedveten arbetsstyrka. Vi konstruerar produkterna så att så få komponenter som möjligt är vitala ur ett säkerhetsperspektiv och att dessa delar kan monteras och levereras under egen kontroll. Vi utför själva konfiguration och slutkontroll i våra lokaler med egen personal och under strikt bevakning. Läs mer om vår högassuransproduktutveckling i vårt White Paper.
“Det här är ett riktigt snyggt sätt att styra upp känslig information som jag personligen tycker fler verksamheter skulle överväga. Som vanligt när det gäller Advenica är dokumentationen riktigt bra och ger rikigt bra stöd kring både uppsättning, drift, säkerhetsrutiner och utveckling av policies och service. Om man inte ska göra någonting allt för komplext är man relativt snabbt igång även om policy-delen förstås kräver lite mer arbete jämfört med en brandvägg eller en nätverksdiod.”
OT-säkerhetsexpert, om Advenicas ZoneGuard