Transmission des journaux, des alertes et des données de télémétrie via une diode de données

Découvrez comment
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Accueil/ Blog / Transferts Secure sur des réseaux non fiables…
Sécurité critique des réseaux

Secure les transferts Secure sur des réseaux non fiables à l'aide de diodes de données, de signatures numériques et du protocole mTLS

Par Sal Morlando, directeur principal des produits
Partager cet article

Le transfert sécurisé de données entre des environnements fiables et non fiables pose des défis importants, en particulier lorsque le réseau de transit n'est pas fiable. Une architecture de transfert de fichiers inter-domaines permet de transférer des données en toute sécurité entre différents environnements en combinant un flux de données unidirectionnel, une signature cryptographique et un transport à authentification mutuelle. En partant du principe que le réseau de transit est hostile et en éliminant toute communication bidirectionnelle, cette conception offre une approche robuste et vérifiable pour garantir l'intégrité et l'authenticité des données, ainsi que l'isolation du système.

Repenser la confiance dans les transferts de données entre domaines

Les systèmes de transfert de données entre domaines doivent trouver un équilibre entre la nécessité opérationnelle de partager des données et les mesures de sécurité visant à empêcher tout accès non autorisé, toute fuite de données et toute voie de commande et de contrôle. Étant donné que des acteurs malveillants peuvent surveiller ou compromettre le réseau de transit, la sécurité ne peut pas reposer uniquement sur les protections réseau traditionnelles.

L'architecture présentée ici repose sur l'hypothèse selon laquelle le réseau de transit n'est pas fiable et pourrait être compromis ; la sécurité est donc assurée par un isolement physique et une vérification cryptographique.

Hypothèses, modèle de menaces et architecture

Hypothèses

  • Le réseau de transit n'est pas fiable et peut se montrer ouvertement hostile
  • Les attaquants peuvent intercepter, modifier, réémettre, retarder ou injecter du trafic
  • Aucune communication bidirectionnelle n'est autorisée entre les domaines de confiance et les domaines non fiables.
  • La confiance se limite aux clés cryptographiques désignées et à la logique de vérification

Menaces à traiter

  • Attaques de type "Man-in-the-middle
  • Falsification et altération de données
  • Attaques par rejeu
  • Exécution de commandes à distance
  • Canaux de retour d'information clandestins

Présentation générale de l'architecture

L'architecture se compose de trois zones de sécurité, et le système n'autorise à aucun moment une connectivité bidirectionnelle entre ces zones :

  1. Zone de confiance (pour la signature)
  2. Réseau de transit non fiable
  3. Domaine de vérification de la zone non fiable

Fonctionnement de cette architecture à base de diodes

Zone de confiance en tant que domaine de signature

Toutes les données proviennent d'une zone de signature fiable. Avant leur diffusion, les fichiers sont validés conformément à la politique en vigueur, puis signés numériquement à l'aide d'une clé privée protégée sur la diode de données. La signature constitue une preuve cryptographique de l'origine et de l'intégrité des données. Une fois signés, les fichiers deviennent immuables du point de vue de la confiance, et toute modification ultérieure sera détectée en aval.

Cette zone ne dispose d'aucune connectivité réseau entrante, les opérations de signature sont strictement limitées et les clés privées sont protégées par un stockage matériel. Une inspection ou un filtrage du contenu peut également être effectué avant la signature afin de garantir que seules les données approuvées soient transmises.

Mise en œuvre physique à l'aide de diodes de données

Composant à diode de sortie

Le premier composant de diode de données impose un flux unidirectionnel sortant de l'environnement de confiance. Il empêche physiquement toute donnée, tout signal ou tout retour d'information lié au protocole de revenir vers le domaine source.

Composant : diode d'entrée

Le deuxième composant de diode de données impose un flux unidirectionnel vers le domaine non fiable. Cela empêche les réseaux non fiables d'établir des relations bidirectionnelles avec les systèmes internes et simplifie l'accréditation de sécurité en imposant un flux d'informations fixe.

Secure sur un réseau non fiable

Entre les points d'extrémité de la diode, les données transitent par un réseau non fiable. La communication de transport est protégée par le protocole TLS mutuel (mTLS), qui permet d'authentifier les points d'extrémité et de chiffrer les données en transit.

Le mTLS est explicitement considéré comme un mécanisme de défense en profondeur, et non comme un ancrage de confiance. Il réduit l'exposition aux risques d'usurpation d'identité et d'interception passive, mais ne sert pas à garantir l'intégrité ou l'authenticité des données.

Domaine de vérification non fiable

Dans le domaine non fiable, les fichiers reçus font l'objet d'une vérification cryptographique. La diode valide les signatures numériques, les chaînes de certificats et les contraintes de politique avant d'accepter les données. Les validations qui échouent sont rejetées et consignées dans un journal.

Dans ce domaine, la confiance se limite aux clés publiques ou aux certificats approuvés, ainsi qu’à la logique de vérification et à l’application des politiques. Par conséquent, aucune confiance n’est accordée à la couche réseau ni à la couche transport.

Garanties de sécurité et résultats

Cette architecture offre de solides garanties de sécurité. Même si le réseau de transit était entièrement compromis, les attaquants ne pourraient ni falsifier des données fiables ni influencer les systèmes fiables. Parmi les principales garanties de sécurité, on peut citer :

  • Flux de données unidirectionnel imposé physiquement
  • Intégrité et authenticité cryptographiques indépendantes du mode de transport
  • Élimination des surfaces d'attaque interactives
  • Résistance à l'interception, à la relecture et à la modification
  • Une séparation claire des fonctions et des périmètres d'audit

Des solutions sur mesure pour permettre des transferts de données Secure

En combinant des diodes de données, telles que MetaDefender Diode™, des signatures numériques et une sécurité de transport multicouche, cette architecture permet un transfert sécurisé de fichiers entre domaines sans reposer sur la confiance entre réseaux. Cette conception est particulièrement adaptée aux environnements de confiance, aux infrastructures critiques et aux systèmes réglementés qui exigent une assurance élevée, un minimum d'hypothèses de confiance et des contrôles vérifiables.

Pour en savoir plus sur la manière dontOPSWAT à mettre en œuvre cette architecture, contactez un expert dès aujourd'hui.

Parler à un expert
Tags :

Derniers messages

S'inscrire à la lettre d'information OPSWAT

Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT les nouvelles qui font avancer l'industrie.
Signez-moi

Suivez-nous sur les réseaux sociaux Media

Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.
S'abonner