Статья

InfoDiode – новое слово в системах защиты данных

Безопасность Новости поставщиков
мобильная версия

Новое решение «АМТ-Груп» – InfoDiode – позволяет гарантированно предотвратить утечки конфиденциальных данных. В основе – применение однонаправленной передачи данных.

«АМТ-Груп» представила рынку новое решение собственной разработки, аппаратно-программный комплекс однонаправленной передачи данных InfoDiode. Создатели говорят об универсальности InfoDiode: решение предназначено для обеспечения безопасности данных в государственных организациях, в том числе силовых структурах, промышленности, топливно-энергетическом комплексе, а также коммерческих предприятия любых отраслей, использующих закрытые сети.

Новое решение «АМТ-Груп» – InfoDiode – позволяет гарантированно предотвратить утечки конфиденциальных данных

В основу решения был положен опыт и наработки «АМТ-Груп» в применении различных систем однонаправленной передачи данных. В частности, «АМТ-Груп» имеет опыт внедрения подобных систем в ряде проектов по защите АСУ ТП на ГЭС «РусГидро».

Решения на основе технологии однонаправленной передачи данных (data diode) уже несколько лет широко используются в мире. В западных странах класс устройств, гарантирующих однонаправленную передачу данных, регламентирован отраслевыми стандартами (например, NERC). В Российской Федерации применение однонаправленных систем передачи данных регламентировано приказами ФСТЭК (Приказы 17, 21 и 31). В решение InfoDiode заложен ряд уникальных возможностей, которые по-новому раскрывают потенциал использования систем однонаправленной передачи данных, что существенно увеличивает количество решаемых с их помощью задач и возможных сценариев применения.

Сделано в России

Геополитическая обстановка диктует свои условия, и использование зарубежных решений однонаправленной передачи данных сегодня не всегда возможно в силу специфики оборудования и санкционных ограничений. В силу того, что большая часть западных решений используется для защиты объектов НАТО и критически важных объектов зарубежной инфраструктуры, никто не может гарантировать непрерывность поставок оборудования и его сервисной поддержки в РФ. Также стоит вопрос об отсутствии недекларированных возможностей в поставляемых комплексах и их сертификации на соответствие отечественным требованиям по информационной безопасности.

Одной из основных задач для разработчиков InfoDiode стало создание на 100% российского решения. InfoDiode — это полностью российская программная реализация («АМТ-Груп»), российская операционная система (ОС Astra Linux) и российская аппаратная платформа. Решение поддерживает основные протоколы однонаправленной передачи данных (UDP/TCP: FTP, SMTP, CIFS; ESP IPSec). InfoDiode также предусматривает возможность кластеризации и передачу данных с использованием помехоустойчивого кодирования. В настоящее время комплекс проходит сертификацию во ФСТЭК России.

Однонаправленная передача данных: как это делается

Что же такое однонаправленная передача данных? Принцип работы InfoDiode можно описать как однонаправленный транспорт трафика. Однонаправленность передачи обеспечивает высокий уровень защиты данных, предотвращая реализацию большинства угроз информационной безопасности. В ряде сценариев его применения можно сделать акцент на обеспечении конфиденциальности передаваемой и обрабатываемой информации, в ряде других сценариев – на целостности данных.

Принцип работы InfoDiode

Источник: «АМТ-Груп», 2015

Принцип работы InfoDiode заключается в использовании трех компонент: аппаратного сетевого устройства, гарантирующего однонаправленность передачи данных (за счет отсутствия обратного канала передачи и гальванической развязки), и двух прокси-серверов, терминирующих сервисы для однонаправленной передачи.

Совсем просто? И да, и нет. Дело в том, что не все типы трафика по своей природе взаимодействуют однонаправленно. Когда речь идет о UDP–трафике, то он изначально функционирует однонаправленно и для передачи UDP трафика достаточно «просто» (чуть ниже мы поговорим о том, что тут не совсем так все очевидно) маршрутизировать трафик. Некоторые производители, в том числе отечественные, пошли по этому пути и, в принципе, на нем остановились. В результате спектр применения устройства оказывается довольно узок: на выходе получаются простые однонаправленные маршрутизаторы с весьма узким диапазоном возможностей и ограниченным количеством сценариев применения.

Но если идет речь о TCP–трафике, предполагающем гарантированную доставку с установлением соединения? В этом случае необходима некая эмуляция соединения на участке с аппаратным сетевым устройством (диодом), позволяющая на части маршрута информационного потока заменять двунаправленное взаимодействие на однонаправленное.

Еще одна фундаментальная задача — обеспечение надежности. В некоторых случаях UDP предполагает подтверждение успешного приема блоков информации, а для TCP гарантированная доставка является нормой. Очевидно, что в случае использования системы однонаправленной передачи данных мы получаем участок, понижающей надежность всего информационного потока, и это необходимо компенсировать. Некоторые производители, хотя, конечно, далеко не все, на участке аппаратного диода используют инкапсуляцию с помехоустойчивой избыточностью (кодированием).

Сценарии использования InfoDiode: скорость, безопасность и многофункциональность

Существует мнение, что системы односторонней передачи данных, в основном, применимы для защиты АСУ ТП. Однако зарубежный опыт показывает, что спектр решаемых с их помощью задач гораздо шире, и потенциал использования таких систем пока еще не раскрыт. Российским компаниям, внедряющим подобные системы, все еще приходится сталкиваться с предрассудками. Действительно, односторонняя передача данных накладывает некоторые ограничения в реальном применении. В первую очередь, как говорилось выше, необходим однонаправленный характер информационного взаимодействия на прикладном уровне. С другой стороны, существует масса гибких сценариев, когда можно получить все преимущества использования систем однонаправленной передачи данных, оставляя функциональность взаимодействия между сетевыми сегментами на высоком уровне. Сценариев использования технологии односторонней передачи существует больше, чем кажется на первый взгляд. Ниже приведены некоторые из них.

Сценарий 1–2. Импорт и экспорт данных

Сфера применения: государственные предприятия, предприятия оборонно-промышленного комплекса, критически важные объекты, коммерческие организации, использующие закрытые сети.

Сценарии 1 и 2 гарантируют конфиденциальности и целостности защищаемых данных.

Источник: «АМТ-Груп», 2015

Сценарий 3. Одновременная выгрузка и загрузка данных

Сфера применения: Любые организации, использующие закрытые сегменты сети.

Данный сценарий позволяет обеспечить функциональность двустороннего информационного обмена, обеспечивая высокий уровень защиты периметра. Учитывая невозможность установления соединений (исключение обратной связи для злоумышленника по большинству протоколов), данный сценарий значительно (по оценкам компании примерно в 10 раз) превосходит по уровню защищенности традиционные схемы с межсетевым экраном на периметре.

Источник: «АМТ-Груп», 2015

Сценарий 4. Защищенное удаленное взаимодействие критичных сетевых сегментов (Site-to-Site IPSec VPN)

Сфера применения: любые организации, использующие территориально разнесенные закрытые сегменты сети.

В этом сценарии обеспечивается полноценное двустороннее защищенное взаимодействие удаленных узлов, находящихся в территориально разнесенных закрытых сегментах ЛВС, посредством IPsec VPN, через публичные сети. При этом реализуется уникальный дизайн «АМТ-Груп», использующий технологию однонаправленной передачи данных в схеме IPsec VPN сетей.

Сценарий обеспечивает высокий уровень защиты от внешних угроз (по аналогии со Сценарием 3, уровень защищенности от внешних угроз возрастает примерно в 10 раз) и существенную изоляцию критичных сегментов сети.

Источник: «АМТ-Груп», 2015

Сценарий 5. Защищенный удаленный доступ Remote Access VPN и создание изолированной демилитаризованной зоны

Сфера применения: любые организации, которым необходима организация защищенного удаленного доступа.

В ряде случаев необходимо обеспечивать защищенный удаленный доступ к внутренним ресурсам компании, как внутренним пользователям, так и партнерам и подрядчикам. Данный сценарий подразумевает создание изолированной демилитаризованной зоны, куда выгружаются только допустимые для удаленных пользователей и подрядчиков/партнеров данные. При этом обеспечивается гарантия сохранения конфиденциальности и целостности критичных данных внутри информационной системы: исключается возможность доступа удаленных пользователей посредством VPN-соединений к внутренним ресурсам.

Источник: «АМТ-Груп», 2015

И это далеко не полный список возможных сценариев применения однонаправленных систем передачи данных. Благодаря уровню безопасности, который гарантируют создатели, InfoDiode может решать задачи защиты данных в государственных и корпоративных информационных системах, на военных и любых других стратегических объектах, в образовательных учреждениях, организациях финансовой отрасли.