Cross Domain Solutions möjliggör strikt kontrollerat och filtrerat informationsutbyte mellan domäner med olika säkerhets- eller skyddsbehov, till exempel databaser, servrar, applikationer eller kombinationer därav. Men det finns olika typer av Cross Domain Solutions – enkelriktade och dubbelriktade. I detta kunnande klargör vi skillnaderna och funktionaliteten hos lösningarna.
Vad är en Cross Domain Solution ?
Cross Domain Solutions (CDS) är en term som används för att beskriva hur man bibehåller ett säkert informationsutbyte mellan domäner med olika säkerhets- och skyddsbehov. Detta kan ske mellan databaser, servrar, applikationer eller en kombination av dessa. CDS belyser värdet av att kunna kommunicera, att dela eller flytta information mellan domäner och samtidigt tillämpa validering, transformering och filtrering under utbytet.
Syftet är att tillämpa strikt informationsöverföring på informationsnivå, medan säkerhet med hög assurans tar itu med cybersäkerhetshot som manipulation, dataläckage och intrång.
Hur fungerar en Cross Domain Solution?
Cross Domain Solutions inkluderar tre typer av principer för informationsutbyte:
- Dubbelriktat för att uppfylla domänhandslag och skräddarsytt informationsutbyte.
- Enkelriktat för att säkerställa integritet eller konfidentialitet för domäner.
- Airgap mellan system med manuell överföring och kontroll av informationen.
Dubbelriktat informationsutbyte
Dubbelriktade gateways möjliggör ett strikt kontrollerat dubbelriktat och filtrerat informationsflöde som stödjer tredjepartskontroller för att upprätthålla en digitalt signerad informationspolicy. Den använder filter i båda riktningarna och informationen kontrolleras alltid med hjälp av fullständig meddelandeinspektion. Filtret kan låta information passera beroende på flera faktorer t.ex. käll-/destinationsadresser, filformat, attribut eller förekomsten av en digital signatur.
Enkelriktat informationsutbyte
En lösning som kan användas för enkelriktat informationsutbyte är att använda en datadiod.Att garantera ett enkelriktat informationsflöde innebär att känslig information kan överföras utan att äventyra nätverkets integritet eller konfidentialitet, beroende på hur datadioden används. En annan fördel ligger i tekniken för en datadiod. Att den är hårdvarubaserad och inte mjukvarubaserad betyder att den inte kan attackeras av skadlig kod och heller inte konfigureras fel. Intrång förhindras därmed. En datadiod låter dig överföra data utan att äventyra nätverkets säkerhet.
Datadioder
Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. En datadiod är en säkerhetsprodukt som placeras mellan två nätverk och som fungerar som en backventil vars funktion endast tillåter att data skickas i ena riktningen medan den blockerar all data i motsatt riktning. Då datadiodens säkerhetsegenskaper bygger på hårdvara och optisk fiber kan man visa att det är fysiskt omöjligt för data att transporteras i motsatt riktning. Hårdvarubaserad säkerhet innebär att man kan visa att datadioder har hög assurans.
En datadiod skyddar tack vare sin höga assurans tillgångar hos aktörer verksamma inom kritisk infrastruktur, ICS/SCADA och försvarsindustrin. Digitaliseringen och ökningen av sofistikerade cyberattacker gör att varje organisation som arbetar med känslig information användning av en datadiod för att kunna skydda sin värdefulla information och för att kunna utbyta data på ett säkert sätt.
För att kunna kommunicera med dubbelriktade protokoll behövs proxy-tjänster. Proxy-tjänsterna konverterar dubbelriktade protokoll till enkelriktade protokoll och på så sätt kan de skickas via datadioden. Genom att använda en proxy-tjänst kan Advenicas datadiod hantera de vanligaste kommunikationsprotokollen. Dessa tjänster översätter protokollen till enkelriktade protokoll och erbjuder datakommunikation med den ogenomträngliga säkerheten hos den enkelriktade hårdvaran.
Security gateways
En dubbelriktad Security Gateway kan jämföras med en brandvägg eftersom den reglerar vilken trafik som kan komma in och ut ur ett nätverk. En brandvägg är en enhet med syftet att skydda ditt nätverk genom att blockera viss trafik att komma in eller ut. Den övervakar och bestämmer vilka protokoll som är tillåtna och vilka som blockeras baserat på dess konfiguration.
Med en brandvägg är det svårt att veta exakt vilken information som exporteras eller importeras i protokollen in till systemet. Organisationer som har känslig information och som verkar inom kritisk infrastruktur, myndigheter eller försvaret, är i behov av att deras nätverk håller en högre säkerhetsnivå. Därför behövs fler lösningar än en brandvägg,såsom en Security Gateway med hög assurans.
En dubbelriktad Security Gateway vidarebefordrar endast mottagen information när den följer dess policy som härleds till organisationens informationssäkerhetspolicy. Den policy som implementeras i en Security Gateway definierar accepterade informationsstrukturer, format, typer, värden och till och med digitala signaturer. När ett meddelande skickas från en säkerhetsdomän till en annan över en Security Gateway analyseras informationen i meddelandet enligt den definierade policyn. Godkända delar av det mottagna meddelandet sätts in i ett nytt meddelande som skickas till den avsedda mottagaren i den andra domänen. På så sätt vet du att endast tillåten information passerar denna gräns.
Vill du veta mer om vilka produkter och lösningar som vi kan erbjuda? Läs mer här!
Läs mer om våra datadioder!
Lär dig mer om vår ZoneGuard!
