A transferência segura de dados entre ambientes confiáveis e não confiáveis apresenta desafios significativos, especialmente quando a rede de trânsito não é confiável. Uma arquitetura de transferência de ficheiros entre domínios permite transferir dados de forma segura entre ambientes, combinando um fluxo de dados unidirecional, assinatura criptográfica e transporte com autenticação mútua. Ao partir do princípio de que a rede de trânsito é hostil e ao eliminar a comunicação bidirecional, este projeto proporciona uma abordagem robusta e auditável para manter a integridade dos dados, a autenticidade e o isolamento do sistema.
Repensar a confiança nas transferências de dados entre domínios
Os sistemas de transferência de dados entre domínios têm de conciliar a necessidade operacional de partilhar dados com controlos de segurança que impeçam o acesso não autorizado, a fuga de dados e as vias de comando e controlo. Uma vez que os adversários podem observar ou comprometer a rede de trânsito, a segurança não pode basear-se exclusivamente nas proteções tradicionais baseadas na rede.
A arquitetura aqui apresentada foi concebida partindo do pressuposto de que a rede de trânsito não é fiável e está potencialmente comprometida, sendo a segurança garantida através do isolamento físico e da verificação criptográfica.
Pressupostos, modelo de ameaças e arquitetura
Pressupostos
- A rede de trânsito não é fiável e pode ser ativamente hostil
- Os atacantes podem interceptar, modificar, reproduzir, atrasar ou injetar tráfego
- Não é permitida qualquer comunicação bidirecional entre domínios confiáveis e não confiáveis
- A confiança limita-se às chaves criptográficas designadas e à lógica de verificação
Ameaças a abordar
- Ataques Man-in-the-middle
- Alteração e falsificação de dados
- Ataques de repetição
- Execução remota de comandos
- Canais de feedback secretos
Visão geral da arquitetura
A arquitetura é composta por três zonas de segurança, nas quais o sistema não permite, em momento algum, a conectividade bidirecional entre as fronteiras de segurança:
- Zona de confiança (para assinatura)
- Rede de trânsito não fiável
- Domínio de verificação da zona não confiável
Como funciona esta arquitetura baseada em díodos
Zona de confiança como domínio de assinatura
Todos os dados têm origem numa zona de assinatura fiável. Antes da sua divulgação, os ficheiros são validados de acordo com a política e assinados digitalmente utilizando uma chave privada protegida no «data diode». A assinatura constitui uma prova criptográfica da origem e da integridade. Uma vez assinados, os ficheiros tornam-se imutáveis do ponto de vista da confiança, e qualquer modificação subsequente será detetada a jusante.
Esta zona não dispõe de conectividade de rede de entrada, as operações de assinatura estão sujeitas a restrições rigorosas e as chaves privadas são protegidas através de armazenamento suportado por hardware. Também é possível realizar a inspeção ou a limpeza do conteúdo antes da assinatura, para garantir que apenas os dados aprovados sejam divulgados.
Aplicação física através de díodos de dados
Componente de díodo de saída
O primeiro componente do díodo de dados impõe um fluxo unidirecional para fora do ambiente de confiança. Impede fisicamente que quaisquer dados, sinais ou feedback de protocolo regressem ao domínio de origem.
Componente de díodo de entrada
O segundo componente do díodo de dados impõe um fluxo unidirecional de entrada no domínio não confiável. Isto impede que redes não confiáveis estabeleçam relações bidirecionais com os sistemas internos e simplifica a certificação de segurança, ao impor um fluxo de informação fixo.
Secure através de uma rede não fiável
Entre os pontos finais do diodo, os dados transitam por uma rede não confiável. A comunicação de transporte é protegida através do TLS mútuo (mTLS), que permite autenticar os pontos finais e encriptar os dados em trânsito.
O mTLS é explicitamente considerado um controlo de defesa em profundidade, e não uma âncora de confiança. Reduz a exposição à usurpação de identidade e à interceção passiva, mas não é utilizado para garantir a integridade ou a autenticidade dos dados.
Domínio de verificação não fiável
No domínio não confiável, os ficheiros recebidos são submetidos a uma verificação criptográfica. O diodo valida as assinaturas digitais, as cadeias de certificados e as restrições de política antes de aceitar os dados. As validações com falha são rejeitadas e registadas.
A confiança neste domínio limita-se às chaves públicas ou certificados aprovados, bem como à lógica de verificação e à aplicação de políticas. Consequentemente, não se deposita qualquer confiança na camada de rede ou na camada de transporte.
Garantias de segurança e resultados
Esta arquitetura oferece garantias de segurança sólidas. Mesmo que a rede de trânsito seja totalmente comprometida, os atacantes não conseguem falsificar dados confiáveis nem influenciar sistemas confiáveis. As principais garantias de segurança incluem:
- Fluxo de dados unidirecional imposto fisicamente
- Integridade e autenticidade criptográficas independentes do transporte
- Eliminação das superfícies de ataque interativas
- Resiliência contra a interceção, a reprodução e a modificação
- Separação clara de funções e limites de auditoria
Soluções concebidas especificamente para permitir transferências Secure de dados Secure
Ao combinar díodos de dados, como MetaDefender Diode™, assinaturas digitais e segurança de transporte em camadas, esta arquitetura permite a transferência segura de ficheiros entre domínios sem depender da confiança na rede. O design é adequado para ambientes de confiança, infraestruturas críticas e sistemas regulamentados que exigem garantias sólidas, pressupostos mínimos de confiança e controlos auditáveis.
Para saber mais sobre como a OPSWATOPSWAT a implementar esta arquitetura, fale hoje mesmo com um especialista.
