数据二极管只允许数据单向流动,有效地保护发送设备免受外部攻击。与严厉的交通警察一样,数据二极管加强了数据在网络中传输的单向路由,确保二极管背后的物联网设备不会受到恶意传入流量的损害。
简单而优雅的解决方案,数据二极管为物联网 (IoT) 环境提供基于硬件的安全性。随着连接设备数量的增加以及网络扩展到更广泛和更偏远的地区,这些环境变得更加脆弱。对于物联网基础设施的任何管理员来说,安全是当今最关心的问题——这是有充分理由的。
“物联网设备现在占观察到的受感染设备的 32.72%,”诺基亚在其“2020 年威胁情报报告”中指出,该报告根据公司安全软件收集的数据记录了网络中的恶意软件活动。“与 2019 年相比,物联网设备在整体设备细分中所占的份额从之前的 16.17% 增加了 100%。” 对物联网终端的威胁如此严重,以至于诺基亚得出结论:“网络犯罪分子正将注意力集中在物联网和移动设备上。”
“随着物联网设备数量不断增加,关键基础设施的数字化程度不断提高,这提高了网络安全的标准,”西门子移动的连接和物联网全球产品经理安德烈斯·吉拉特 (Andres Guilarte) 在回复 IoT World Today 的电子邮件问题时写道。
数据二极管如何保护网络
根据 Dictionary.com 的说法,二极管是“一种器件,如二元电子管或半导体,电流只能在一个方向上自由通过”。
数据二极管将此技术应用于网络基础设施,以允许数据在一个方向上流动并阻止数据在其轨道上的另一个死角中传播。尽管自几十年前推出以来,它们的复杂程度和功能都在不断提高,但数据二极管本质上仍然是提供相对简单服务的单一用途设备。
数据二极管的工作方式与其他基于硬件的网络流量控制器类似。例如,通过改变电缆连接(例如从 RS-232 连接器上取下针脚以防止数据在一个方向上流动)已经实现了类似的效果。可以肯定的是,这是一种蛮力解决方案,并且缺乏二极管功能,例如对网络操作至关重要的协议意识。
还有一些网络网关可以限制或消除通过网络的某些数据流,但它们往往具有与防火墙技术类似的复杂性、硬件要求和更新问题。451 Research 物联网研究分析师 Johan Vermij 说:“二极管的一个好处是你不需要修补它们,因此它们比防火墙更适合远距离站点。”
“这是一种基于硬件物理的单向传输,”二极管制造商 Owl Cyber Defense 的首席创新官 Brian Romansky 说。“你不能秘密或意外地打开一个你忘记的向后端口。”
根据 Romansky 的说法,数据二极管可以追溯到冷战时代。“数据二极管的概念来自一些实际上是国防部计划的工作,实际上可以追溯到美国和俄罗斯签署核退役协议的时候,”他指出。双方需要共享数据以确保遵守协议。“我如何与我最不信任的敌人分享我最秘密的数据集中的数据?我如何使这种连接工作而不是一个非常手动、乏味的过程?因此,数据二极管的发明就是为了做到这一点。”
鉴于他们的国防和情报血统,数据二极管出现在国土安全部的建议中也就不足为奇了。“如果单向通信可以完成一项任务,请使用光分离(“数据二极管”),”该部门在其“防御 ICS 的七种策略”出版物中建议。
数据二极管在安全场景中的位置
成功的物联网安全策略可能需要使用软件和硬件安全产品的多层方法。典型的物联网环境包括用于收集和分析数据的智能设备和非智能设备。智能设备可能具有更多固有漏洞,但它们也具有运行复杂安全软件的计算能力。智能程度较低的端点设备很少有处理能力来完成分配给他们的任务以外的任何事情。
加密和防火墙是物联网安全场景中的标准配置,但它们也可能在某些领域达不到要求,从而留下潜在的漏洞。加密的数据流量越多越好,但加密和解密数据可能会给网络带来延迟,并导致需要实时响应来自传感器和其他端点设备的数据的系统出现问题。
防火墙是 IT 网络安全的主要组成部分,也在讨论中占有突出地位。防火墙可以有效地防止入侵并控制网络中数据移动的流量和方向。防火墙的缺点是它们需要专用服务器,需要管理和监控,并经常修补和更新。对于需要同时运行多个防火墙的复杂网络来说,这可能成为一项繁重的工作。
“考虑到不断增加的连接性和快速增加的网络攻击,防火墙不再是唯一的网络安全选项,”西门子的 Guilarte 指出。
新兴的物联网安全技术领域涉及使用基于硬件的安全设备。有时称为硬件安全模块(或 HSM),该类别包括安全专用设备(如数据二极管)以及已使用提供安全功能的芯片增强的端点设备。
关于数据二极管的关键事实
虽然数据二极管已经找到了进入各种环境和操作的方法,但它们最常被引用的实现是将报告与数据收集隔离开来。“我们看到的最常见的用例实际上是历史数据复制,”Romansky 说。“您可以从该系统中获取报告和信息,同时保证没有威胁进入。”
然而,如今,二极管以更多方式用于增强物联网安全性。二极管可以帮助保护的一些关键应用包括:
备份和灾难恢复存储库
复制数据库和其他应用程序数据
进出远程传感器和其他设施的流量
潜在实施者可能担心的一个问题是接收设备是否能够确认已收到数据。
451 的 Vermij 指出:“如果发送网络无法验证从其他网络接收到的数据,单向数据传输基本上是一种盲传输。” 没有它,发送系统就无法确认他们的数据已被接收。“这可能会导致重传,从而消耗额外的带宽。” 维尔米补充道。
但是现代数据二极管比以前的简单单向开关智能得多。凭借对某些通信协议的内在理解,二极管可以在不暴露数据的情况下提供必要的确认。
“无论何时您尝试建立 TCP 会话,您都需要返回确认——它是基于会话的,”Romansky 说。他指出,Owl 的二极管内置了代理服务器来解决确认问题。“当您连接到数据二极管时,您实际上是在连接到在二极管上运行的应用程序,并且您正在连接到我们开发的应用程序,该应用程序知道您尝试发送的协议出去。”
另一个考虑因素可能是数据二极管如何在现有安全系统的环境中工作,主要是安全系统如何能够监控数据二极管后面的设备。数据二极管的正确放置将确保安全应用程序得到他们需要的东西。Romansky 说:“如果您有 SOC 或 NOC,您可以通过二极管传递监控数据,并将其传送到收集分析的 SOC 或 NOC。”
西门子的 Guilarte 指出,数据二极管不太可能干扰现有的安全系统,但它甚至可能使它们变得更好。“它不容易受到软件更改或管理不善的影响,”Guilarte 写道,“默认情况下它是安全的,并且没有错误配置或软件漏洞可以使其不安全。”
数据二极管买家清单
数据二极管的成本通常为几千美元,随着添加更复杂的功能,价格会上涨。这与防火墙的成本是一致的,但二极管的使用寿命远远超过其他网络产品。
“有些已经运行了 20 年而无需维护,”Vermij 指出。
Guilarte 指出,对于某些物联网环境来说,这种可靠性可能是一个大问题。“鉴于数据二极管用于高度安全/敏感的系统,长生命周期支持是必须的,以匹配此类系统的长生命周期,”他写道。
购买数据二极管时需要注意的其他一些特性包括吞吐量能力和协议支持,这两者都将取决于当前和计划的网络架构。
安全评级也可能是一个因素。许多二极管使用 EAL1 到 EAL7 的评估保证等级量表进行评级。EAL7 是最高等级,表示产品已经过正式的设计验证和测试。其他标准也可能发挥作用。Guilarte 还应考虑“根据 IEC 62443 等国际公认标准对开发、制造和支持进行独立的安全评估”。
基于硬件的物联网安全的未来
与数据二极管一样有效,它们可能会受到越来越多支持数千或数十万端点的广泛物联网网络的挑战。由于这种规模和网络复杂性,有效的安全性必须更加本地化。
Vermij 说:“网络安全变得不可能,所以我们必须将安全带到边缘,设备本身。” “完全的气隙不再实用了。”
数据二极管制造商明白传统的二极管操作可能不够,并且正在将他们的技术移植到可以直接集成到端点设备中的芯片大小的平台。“一旦您能够在现场可编程门阵列中进行这种检查,您现在就可以显着降低数据包处理解决方案的尺寸、重量、功率和成本。所以现在你可以开始考虑我还能把它放在哪里?”